Ziele:

Die Datensicherheit (Data Security) umfasst die Planung, die Entwicklung und die Implementierung der Informationsicherheits-Richtlinien und -Verfahren. Die Spezifikationen der Datensicherheit unterscheiden sich je nach Industrie und Nation, aber auf jeden Fall ist der Zweck der Datensicherheitspraktiken immer derselbe: der Schutz von Datenbeständen und Informationen in Übereinstimmung mit Datenschutz- und Vertraulichkeitsgesetzen, Vertragsklauseln und Geschäftserfordernisse.

Diese Erfordernisse können sich aus folgenden Gründen ergeben:

• Stakeholder
• Gesetzgebung
• Geschäftliche Datenaspekte
• Legitimer Bedarf für den Zugang zu Daten
• Vertragsmäßige Verpflichtungen

Wirksame Datensicherheitsrichtlinien und -verfahren stellen sicher, dass die richtigen Personen die Daten auf die richtige Weise nutzen und aktualisieren können und dass jeder unbefugte Zugriff verhindert wird.

Es gibt keine einheitliche Methode zur Implementierung der Datensicherheit, die alle notwendigen Anforderungen an den Datenschutz und die Vertraulichkeit erfüllt: Die Vorschriften konzentrieren sich auf die Ziele der Sicherheit, nicht auf die Mittel, um sie zu erreichen. Daher muss jede Organisation ihre eigenen Kontrollen entwerfen, nachweisen, dass sie die Anforderungen der Vorschriften erfüllen oder übertreffen, die Umsetzung dieser Kontrollen dokumentieren und schließlich ihre Wirksamkeit im Laufe der Zeit überwachen und messen. Wie auch in anderen Knowledge Area umfassen die Aktivitäten die Identifikation der Anforderungen, die Definition des aktuellen Zustands, um Lücken und Risiken zu identifizieren, die Implementierung und Ausführung von Mittel und Prozessen sowie die Überprüfung der getroffenen Sicherheitsmaßnahmen, um die Wirksamkeit zu gewährleisten.

Von unserem Team durchgeführte Aktivitäten:

Identifizierung von Datensicherheitsanforderungen

Zuallerest ist es wichtig, unter geschäftlichen Anforderungen, von externen Gesetzgeber auferlegten Vorschriften und den durch die Anwendung einer bestimmten Software auferlegten Regeln zu unterscheiden. Während Anwendungssysteme als Mittel zur Durchsetzung von Geschäftsregeln und -verfahren dienen, ist es üblich, dass dieselben Systeme zusätzlich zu den für die Geschäftsprozesse erforderlichen Sicherheitsanforderungen ihre eigenen Anforderungen haben, und diese werden bei Standardsystemen immer häufiger. Es muss jedoch betont werden, wie diese die organisatorischen Datensicherheitsstandards unterstützen.

Bestimmung von Datensicherheitsrichtlinien

Organisationen müssen Datensicherheitsrichtlinien auf der Grundlage von geschäftlichen und gesetzlichen Anforderungen erstellen. Eine Richtlinie ist eine Erklärung über einen bestimmten Weg und eine Beschreibung der Verhaltensweisen, die als angemessen erachtet werden, um bestimmte Ziele zu erreichen. Datensicherheitsrichtlinien beschreiben die Verhaltensweisen, die für eine Organisation, die ihre Daten schützen möchte, am besten praktikabel sind. Richtlinien müssen eine messbare Wirkung haben, d. h. sie müssen überprüfbar sein und tatsächlich überprüft werden.

Unternehmensrichtlinien haben oft rechtliche Auswirkungen. Ein Richter könnte eine Richtlinie, die eingeführt wurde, um eine gesetzliche Vorschrift zu erfüllen, als interne Bemühung der Organisation betrachten, diese Norm einzuhalten; daher kann die Nichteinhaltung einer Unternehmensrichtlinie nach einer Datenschutzverletzung rechtliche Folgen haben.

Die Bestimmung von Sicherheitsrichtilinien erfordert die Zusammenarbeit unter IT-Sicherheitsadministratore, Managern der Sicherheitssystemarchitektur, Data-Governance-Vorstände, Data Steward, internen und externen Audit-Gruppen und der Rechtsabteilung. Die Data Stewards müssen auch mit Privacy Officer (definiert durch einige Gesetze, insbesondere amerikanische, Sarbanes-Oxley supervisors, HIPAA Officers) und mit Geschäftsmanagern zusammenarbeiten, um Kategorien von Metadaten für regulatorische Zwecke zu entwickeln und diese Sicherheitsklassifizierungen in einer Weise anzuwenden, die mit den vorgegebenen Definitionen übereinstimmt. Alle Maßnahmen zur Gewährleistung der Einhaltung von Vorschriften und Verordnungen müssen koordiniert werden, um Kosten zu senken und schleierhafte Anweisungen und Verfahren zu vermeiden.

Bestimmung von Datensicherheitsstandards

Richtlinien streben danach, Verhaltensrichtlinien zu geben, aber sie definieren nicht jede mögliche Situation. Standards ergänzen die Richtlinien und liefern weitere Einzelheiten darüber, wie die in den Richtlinien definierten Absichten erfüllt werden können. Beispielsweise kann es in der Richtlinie festgelegt werden, dass Passwörter den Richtlinien für sichere Passwörter entsprechen sollten; die Standards, die ein sicheres Passwort definieren, werden separat aufgeführt. Schließlich verstärkt die Technologie die Richtlinien, indem sie Benutzer daran hindert, Passwörter zu erstellen, die nicht den Standards für sichere Passwörter entsprechen.