DEFINITION DER SICHERHEIT DER INFORMATIONSTECHNOLOGIE (IT-SICHERHEIT)

THEORISCHE DEFINITION 

"Security is a process, not a product", Bruce Schneier, Crypto-Gram Newsletter, May 15, 2000.

Die Sicherheit der Informationstechnologie (IT-Sicherheit) wird heutzutage immer noch zu häufig als eine Anzahl von operationellen Sicherheitsmassnahmen angesehen. Vielmehr gilt es aber neben diesen operationellen Massnahmen auch organisatorische Sicherheitsmassnahmen zu beachten, um die Risiken zu minimieren. Die organisatorischen Massnahmen müssen auf Direktionsebene einer Organisation (Unternehmen, Schulen, etc.) entschieden werden. Die IT-Sicherheit is ein Bestandteil des Qualitätsmanagement.

Das Ziel der IT-Sicherheit ist es letzendlich die Vertraulichkeit, Verfügbarkeit und Integrität in den vorgegebenen Rahmenbedingungen (wie Budget, gesetzlichen Regelungen) zu gewährleisten. Die Verantwortung für die Erreichung dieses Zieles obliegt der obersten Instanz. Die Zielvorgaben müssen periodisch überprüft und angepasst werden.

Somit ist die IT-Sicherheit als ein Prozess anzusehen, der mittels Regelwerken durchgeführt und unterstützt werden kann, wie ISO-27001 und ISO-27002, ITIL , CoBIT, BSI-Grundschutz.

Neben diesen Regelwerken existiert auch die Möglichkeit, sich als Person zertifieren zu lassen, z.B. CISSP.

 

REGLEMENTARISCHE EINBETTUNG

Das Reglement vom 7. Oktober 2003 über die Informatiksicherheit besagt unter anderem Folgendes:

  • die IT-Sicherheit wird mittels Risiko-Managements erreicht.
  •  jeder Benutzer und jeder Benutzerin ist für sein  bzw. ihr Handeln selbst verantwortlich.
IT-security  -   Bd de Pérolles 90    -   1700 Fribourg   -  Tél +41 26 / 300 7206    -   
it-security [at] unifr.ch