Unabhängig von der Branche, in der ein Unternehmen tätig ist, produziert es unabhängig von seiner Größe Informationen in sich selbst und jede Information ist wertvoll. Obwohl die für den Informationsschutz durchzuführenden Aktivitäten und der Umfang dieser Studien von den Merkmalen der Organisation abhängen, Informationssicherheits-Managementsystemwird den folgenden Geltungsbereich haben:

  • Sicherheitspolitik: Top-Management der Organisation, Informationssicherheit die Politik zu befolgen und zu erklären.
  • Klassifizierung von Informationen: Informationsressourcen sollten inventarisiert und ihre Bedeutung bestimmt werden.
  • Gewährleistung der Personalsicherheit: Diese Studie verhindert, dass Mitarbeiter Fehler machen, und minimiert das Risiko des Missbrauchs von Informationen.
  • Gewährleistung der physischen Sicherheit: Minimiert Angriffe auf Informationsquellen und das Risiko der Beschädigung oder Änderung von Informationen.
  • Gewährleistung der Betriebssicherheit: Computersysteme sollten ausreichend und zuverlässig sein. Darüber hinaus müssen diese Systeme kontinuierlich weiterentwickelt werden.
  • Kontrolle des Zugangs zu Informationen: Nur befugte Personen sollten Zugang zu den Informationen haben.
  • Gewährleistung einer raschen Reaktion zum Zeitpunkt des Vorfalls: Je nach Art der Sicherheitsverletzung sollte eine rasche und zeitnahe Reaktion möglich sein.
  • Sicherstellung der Kontinuität der Arbeit: Die Angriffe auf die Informationen sollten die Hauptarbeit der Organisation nicht unterbrechen und in der Lage sein, sehr schnell zur normalen Umgebung zurückzukehren.
  • Compliance: Das Informationssicherheits-Managementsystem muss auf einem Niveau sein, das den Anforderungen der gesetzlichen Bestimmungen entspricht.

Entgegen der weit verbreiteten Meinung ist Information Security Management System nicht nur ein Projekt der Informationstechnologien in der Organisation. Dieses System ist ein Informationssicherheitsprojekt, das die gesamte Organisation betrifft. Die oberste Leitung ist daher nicht für die Einrichtung und den Betrieb dieses Systems verantwortlich, sondern für die Datenverarbeitungseinheiten.

Obwohl das Informationssicherheits-Managementsystem mit der Informationsverarbeitungseinheit verbunden zu sein scheint, ist es tatsächlich mit allen Einheiten und Prozessen der Organisation verbunden.

Diese Missverständnisse können dadurch beeinflusst werden, dass gesetzliche Regelungen zur Informationssicherheit noch nicht getroffen wurden. Einrichten eines Informationssicherheits-Managementsystems Da keine Verpflichtung besteht, hat sich das Informationssicherheitsmanagement nicht wie erwartet in öffentlichen Einrichtungen oder im privaten Sektor verbreitet.

Weitere Informationen zum Standardumfang des ISO 27001 Information Security Management Systems erhalten Sie von den erfahrenen Managern und Mitarbeitern der TURCERT-Zertifizierungsstelle.