Information Security Management
Sie sind am Zug
Glossar / IT-Lexikon
| Anlage § 9 Abs. 1 BDSG | Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften des BDSG, insbesondere die in der Anlage genannten Anforderungen, zu gewährleisten. Im Einzelnen sind dies: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsgebot. |
| Basis-Sicherheitscheck | Soll-/Ist-Vergleich der IT-Sicherheitsmaßnahmen. Hierbei erfolgt eine Gegenüberstellung der bereits umgesetzten Maßnahmen und der gemäß IT-Grundschutz empfohlenen Maßnahmen. Der Basis-Sicherheitscheck dient so der Analyse des Handlungsbedarfs zur Erreichung des Grundschutz-Niveaus (niedriger bis mittlerer Schutzbedarf). |
| British Standard BS 7799-2 | Der BS 7799-2:2002 (Information security management systems - Specification with guidance for use) stellt die Spezifikation für ein Informations-Sicherheits-Management-System (ISMS) dar. Dieses Management-System fügt sich in eine Reihe anderer, internationaler Management-Systeme (ISO9001, ISO14001, BS15000) ein. Der Standard wurde im Jahr 2005 als ISO 27001 international genormt. |
| BDSG | Das Bundesdatenschutzgesetz ist subsidiär zu anderen Spezialnormen, d.h. soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen diese Vorschriften dem BDSG vor („Auffanggesetz“). Es regelt den Datenschutz sowohl für öffentliche Stellen als auch für die Privatwirtschaft. In der Anlage zum § 9 BDSG sind explizit technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten aufgeführt, die beim Umgang mit personenbezogenen Daten zu beachten sind. |
| Datenschutz | Mit Datenschutz wird der Schutz personenbezogener Daten vor etwaigem Missbrauch durch Dritte bezeichnet. |
| Datenschutzbeauftragter | Öffentliche und nicht-öffentliche Stellen haben unter bestimmten Voraussetzungen einen Beauftragten für den Datenschutz schriftlich zu bestellen. Der Datenschutzbeauftragte muss über die erforderliche Verlässlichkeit und Fachkunde (insbesondere im IT-Umfeld) verfügen. Er überwacht weisungsfrei die Wahrung der Rechte Betroffener sowie die Einhaltung der technisch-organisatorischen Datenschutzanforderungen. |
| Datensicherheit | Mit Datensicherheit (synonym: IT-Sicherheit) wird der Schutz von Daten hinsichtlich gegebener Anforderungen an deren Vertraulichkeit, Verfügbarkeit und Integrität bezeichnet. |
| GDPdU | Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen – Der Finanzbehörde wird das Recht eingeräumt, die mit Hilfe eines Datenverarbeitungssystems erstellte Buchführung des Steuerpflichtigen durch Datenzugriff zu prüfen. Diese Prüfungsmethode tritt neben die Möglichkeit der herkömmlichen Prüfung. Das Recht auf Datenzugriff steht der Finanzbehörde nur im Rahmen steuerlicher Außenprüfungen zu. Es werden folgende Zugriffsarten unterschieden: Unmittelbarer Datenzugriff, mittelbarer Datenzugriff und Datenträgerüberlassung. |
| GoBS | Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme – Von der Arbeitsgemeinschaft für wirtschaftliche Verwaltung (AWV) ausgearbeitet und unter Bezugnahme auf das Ergebnis der Erörterungen mit den obersten Finanzbehörden der Länder wurden verbindliche Regelungen für die IT-gestützte Buchführung getroffen. Unter anderem enthalten die GoBS die Ordnungsmäßigkeitsbeschreibungen zur Datensicherheit, Langzeitarchivierung, Dokumentation und Prüfbarkeit. |
| Grundsätze des Datenschutzes | Die Grundsätze, die durch die Regelungen und Vorschriften des BDSG beschrieben werden sind: Grundsatz der Verhältnismäßigkeit, Grundsatz der Datenvermeidung und Datensparsamkeit, Grundsatz der Zweckbindung, Grundsatz der Transparenz |
| IDW | Institut der Wirtschaftsprüfer – Berufsverband der Wirtschaftsprüfer, veröffentlicht Rechnungslegungs- und Prüfungsstandards für Jahresabschlussprüfungen und Sonderprüfungen insbesondere auch im IT-Umfeld. Zu IT-spezifischen Fragestellungen (z.B. Interpretation der GoBS, E-Commerce und elektronische Archivierung) erstellt der Fachausschuss für Informationstechnik (FAIT) beim IDW Richtlinien zur Umsetzung. |
| IKS | Internes Kontrollsystem – Durch die Unternehmensleitung im Unternehmen eingeführte Grundsätze, Verfahren und Maßnahmen (Regelungen), die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung. Insbesondere in Bezug auf die Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sowie die Ordnungsmäßigkeit der Rechnungslegung und der Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften. |
| ISMS | Information Security Management System – Ein Managementsystem umfasst alle Regelungen und Verfahren der Leitungsebene, die für die Steuerung und Lenkung zur Zielerreichung des Unternehmens oder der Institution sorgen. Der Teil des Managementsystems, der sich mit Informationssicherheit/IT-Sicherheit beschäftigt, wird als Informationssicherheitsmanagementsystem (oder ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf die IT-Sicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt. |
| ISO/IEC 17799 | ISO/IEC 17799:2000 (Information technology - Code of practice for information security management); entspricht inhaltlich dem British Standard Nr. 7799, Teil 1 (BS 7799-1:1999). Die ISO 17799 definiert sich als „umfassende Auswahl an Kontrollmechanismen, die auf Methodik und Verfahren basieren, die sich in der Informationssicherheit bewährt haben“. Grundlage für die Standardisierung war hierbei eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis, also ähnlich ITIL um einen „Best practice“ Ansatz. Eine Zertifizierung nach ISO17799 ist grundsätzlich nicht möglich. Die ISO/IEC 17799:2005 wird in den ISO 27002 überführt. |
| ISO/IEC 27001 | Die Norm wurde aus dem British Standard BS 7799-2 entwickelt. Die internationale Norm ISO/IEC 27001:2005, "Information technology - Security techniques - Information security management systems - Requirements" spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung, und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Hierbei werden sämtliche Arten von Organisationen (z.B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Die ISO/IEC 27001:2005 wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher IT-Assets sicherzustellen. |
| IT-Grundschutz | In der IT-Grundschutz-Vorgehensweise (entwickelt vom Bundesamt für Sicherheit in der Informationstechnik – BSI) wird dargestellt, wie ein effizientes Managementsystem für die Informationssicherheit (ISMS) aufgebaut werden kann und wie die IT-Grundschutz-Kataloge im Rahmen dieser Aufgabe verwendet werden können. Die Vorgehensweise nach IT-Grundschutz in Kombination mit den IT-Grundschutz-Katalogen bietet eine systematische Methodik zur Erarbeitung von IT-Sicherheitskonzepten und typisiert praxiserprobte Standard-Sicherheitsmaßnahmen. Individuell kann aufbauend auf ein Grundschutzniveau ein erhöhter Schutzbedarf gezielt analysiert werden(Risikoanalyse). Das Grundschutz-Modell bietet aktuell folgende Standards: BSI Standard 100-1: Managementsysteme für Informationssicherheit (ISMS); BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise; BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz. |
| IT-Sicherheit | IT-Sicherheit beschäftigt sich vordringlich mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung (Informationssicherheit). Hierbei sind die klassischen Grundwerte der IT-Sicherheit Vertraulichkeit, Integrität und Verfügbarkeit die Grundlagen für ihren Schutz. |
| IT-Sicherheitsbeauftragter | Er berät die Leitungsebene und entlastet diese in allen Fragen zur IT-Sicherheit, er koordiniert den IT-Sicherheitsprozess, erstellt Konzepte und Richtlinien und überwacht die Einhaltung der Sicherheitsmaßnahmen (häufig Stabsstelle oder externer Dienstleister). |
| IT-Sicherheitskonzept | Ein IT-Sicherheitskonzept dient zur Umsetzung der IT-Sicherheitsstrategie und beschreibt die geplante Vorgehensweise, um die gesetzten Sicherheitsziele zu erreichen. Es ist das zentrale Dokument im IT-Sicherheitsprozess. |
| IT-Sicherheitsprozess (PDCA-Modell) | IT-Sicherheit ist kein statischer Zustand sondern ein dynamischer Prozess. Auch Sicherheitskonzepte, Richtlinien und Maßnahmen unterliegen einem gewissen Lebenszyklus und müssen den sich verändernden Rahmenbedingungen und technischen Veränderungen angepasst werden. Hierzu wird auch vom „PDCA-Modell“ gesprochen. Das Modell wird nach den einzelnen Phasen des Sicherheitsprozesses benannt: Plan (Planung/Konzeption) – Do (Umsetzung) – Check (Erfolgskontrolle/Überwachung) – Act (Optimierung, Verbesserung). |
| Notfallvorsorgekonzept | Das Notfallvorsorgekonzept beschreibt eine Risikoanalyse im IT-Umfeld und die Präventivmaßnahmen zur Abwehr erkannter Risiken/Schadensszenarien. Es dient der Prüfung, ob die Schutzmaßnahmen hinsichtlich der Anforderungen an die Verfügbarkeit der IT-Systeme ausreichend sind. Weiterhin bildet es die Grundlage für das IT-Notfall-Handbuch, in dem konkrete Verantwortlichkeiten und Maßnahmen bei Eintritt eines IT-Notfalls beschrieben werden. |
| Personenbezogene Daten | Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). |
| Revision | Revision ist die systematische Überprüfung der Eignung und Einhaltung vorgegebener (Sicherheits-) Richtlinien und Verfahren. Die Revision sollte unabhängig und neutral sein. |
| Risikomanagement | Ein Risikomanagementsystem zielt auf die angemessene Erfüllung gesetzlicher Auflagen und Vorschriften im Unternehmen. Es dient der Vermeidung bestandsgefährdender Risiken und insbesondere auch dem Nachweis einer sachgerechten Auseinandersetzung mit IT-Risiken. Es dient zur Erhöhung der Transparenz im Unternehmen. |
| Security Policy | In einer Sicherheitsrichtlinie werden Schutzziele und allgemeine Sicherheitsmaßnahmen im Sinne offizieller und verbindlicher Vorgaben eines Unternehmens oder einer Institution formuliert. Die Beschreibung einzelner Sicherheitsmaßnahmen wird hingegen im umfangreicheren IT-Sicherheitskonzept beschrieben. |
| Verfahrensverzeichnis | Sofern Verfahren automatisierter Verarbeitungen personenbezogener Daten meldepflichtig sind, müssen diese gemäß der Anforderungen nach § 4 e BDSG (in der Regel durch den Datenschutzbeauftragten) dokumentiert und fortgeschrieben werden. Das Verfahrensverzeichnis dient als Nachweis der Umsetzung der Anforderungen insbesondere der Anlage zum § 9 Abs. 1 BDSG. |