Entwicklung einer Informationssicherheitsstrategie im Rahmen von ISO 27002

Die Informationssicherheitsstrategie eines Unternehmens muss auf den Zielen der Geschaftsstrategie und der daraus abgeleiteten IT-Strategie aufbauen. Ausgangspunkt ist der Status Quo, insbesondere unter der Bewertung von Bedrohungen und Risiken. Mit Hilfe daraus abgeleiteter Einzelziele werden die vorhandenen Defizite identifiziert. In einem nachsten Schritt wird dann aufgezeigt, mit welchen Methoden und Masnahmen diese Defizite abgestellt werden. Dieser Strategieansatz ist auf eine Organisation ausgerichtet, die einen Automobilhersteller und dessen Finanzdienstleistungen unterstutzt, ist aber nicht darauf begrenzt. Der Ansatz ist angelehnt an den Scope des internationalen Standards ISO 27002 „Code of Practice for an Information Security Management System“ [ISO05], wobei das Thema Compliance jedoch nicht berucksichtigt wird. Die Strategie ist auf vier Bereiche fokussiert: Informationsnutzer, Geschaftsprozesse, Anwendungen und Infrastruktur.