Personen > Professorinnen und Professoren > Pohl > Management_d_IS

Management der Informationssicherheit


Situation

Informationssicherheit ist in großen, mittleren und zunehmend auch in kleinen Unternehmen und Behörden ein umfangreicher Arbeitsbereich. Seit Jahren sind Richtlinien und Arbeitshilfen veröffentlicht, die den Sicherheitsbeauftragten dabei unterstützen, die Komplexität der IT - auch als Extranet zur Kommunikation mit Auftraggebern und -nehmern - zu beherrschen.


Regulative Anforderungen

Seit mehr als 5 Jahren hat der Gesetzgeber die Bedeutung der IT für den Bestand von Unternehmen erkannt und fordert z.B. Risiko-Management-Systeme und Bewertungen der Verfügbarkeit und Integrität der Daten und Programme - auch bei Ausfall von Teilsystemen oder Fehlverhalten von Mitarbeitern.
Genannt werden sollen hier das deutsche Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), für die USA der Sarbanes-Oxley Act, Gram-Leach-Bliley Act etc., die europäische Datenschutzrichtlinie sowie die Vereinbarung Basel II.
Diese und andere Gesetze und Vereinbarungen zielen auf ein Risiko-Management, um die folgenden Bereiche der Informationssicherheit abzudecken:

  • Security Policy
  • Security Organization
  • Asset Classification and Control
  • Personnel Security
  • Physical and Environmental Security
  • Computer and Network Management
  • Intrusion Detection
  • System Access Control
  • System Development and Maintenance
  • Business Continuity and Disaster Recovery Planning
  • Compliance


Labor für Informationssicherheit

Um das Management der Informationssicherheit von Unternehmen und Behörden zu erleichtern und auch im Einzelfall unterstützen zu können, werden u.a. die folgenden Aspekte - auch für heterogene und komplexe Systeme und Netze bearbeitet:

  • Identity- und Access-Management
  • Entwicklung unternehmensspezifischer Sicherheitsstrategien
  • Implementierung von Sicherheitsstandards wie ITIL, CObIT, ISO 27000 (ISO 17799 / BS 7799), Grundschutzhandbuch
  • Service Level Agreements
  • Outsourcing, Security des Outsourcing und Outsourcing Security
  • Implementierung von Information Security Management Systemen (ISM)
  • Vorbereitung auf Zertifizierungen gem. ISO 27000 oder Auditierungen nach Grundschutzhandbuch

Alle Aktivitäten werden im Rahmen des akkreditierten Forschungsschwerpunkts NEGSIT - Next Generation Services in Heterogenous Network Infrastructure bearbeitet.
 

[« Zurück ]