Informationssicherheit/Verfahren: Unterschied zwischen den Versionen
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 14: | Zeile 14: | ||
==== Sorgfaltspflicht ==== | ==== Sorgfaltspflicht ==== | ||
„Vernünftige und umsichtige Person“, „Sorgfaltspflicht“ | |||
* Lange in Bereichen Finanzen, Wertpapiere und Recht verwendet | * Lange in Bereichen Finanzen, Wertpapiere und Recht verwendet | ||
* In den vergangenen Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten | * In den vergangenen Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten | ||
==== Einhaltung von Gesetzen und Vorschriften ==== | ==== Einhaltung von Gesetzen und Vorschriften ==== | ||
Aktionäre, Kunden, Geschäftspartner und Regierungen erwarten | |||
* Dies wird oft als die Regel der „vernünftigen und umsichtigen Person“ beschrieben | * dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt | ||
* Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen | * Dies wird oft als die Regel der „vernünftigen und umsichtigen Person“ beschrieben | ||
* Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen | * Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen | ||
* Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen | |||
==== "due care" und "due diligence" ==== | ==== "due care" und "due diligence" ==== | ||
Zeile 35: | Zeile 36: | ||
==== Verantwortung ==== | ==== Verantwortung ==== | ||
Organisationen haben eine Verantwortung | |||
; Sorgfaltspflicht bei der Anwendung der Informationssicherheit praktizieren | ; Sorgfaltspflicht bei der Anwendung der Informationssicherheit praktizieren |
Aktuelle Version vom 11. April 2024, 16:41 Uhr
Informationssicherheit/Verfahren - Kurzbeschreibung
Beschreibung[Bearbeiten | Quelltext bearbeiten]
Option | Beschreibung |
---|---|
Sicherheits-Governance | |
Vorfallsreaktionspläne | |
Änderungsmanagement |
Sorgfaltspflicht[Bearbeiten | Quelltext bearbeiten]
„Vernünftige und umsichtige Person“, „Sorgfaltspflicht“
- Lange in Bereichen Finanzen, Wertpapiere und Recht verwendet
- In den vergangenen Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten
Einhaltung von Gesetzen und Vorschriften[Bearbeiten | Quelltext bearbeiten]
Aktionäre, Kunden, Geschäftspartner und Regierungen erwarten
- dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt
- Dies wird oft als die Regel der „vernünftigen und umsichtigen Person“ beschrieben
- Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen
- Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen
"due care" und "due diligence"[Bearbeiten | Quelltext bearbeiten]
Im Bereich der Informationssicherheit bietet Harris die folgenden Definitionen der Begriffe "due care" und "due diligence" an:
- "Due care are steps that are taken to show that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees."
Und [Due Diligence sind die] "kontinuierliche Aktivitäten, die sicherstellen, dass die Schutzmechanismen kontinuierlich aufrechterhalten werden und funktionsfähig sind."'
- Bei diesen Definitionen sollten zwei wichtige Punkte beachtet werden
- Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die sich nachweisen lassen; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen.
- Dies bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind.
Verantwortung[Bearbeiten | Quelltext bearbeiten]
Organisationen haben eine Verantwortung
- Sorgfaltspflicht bei der Anwendung der Informationssicherheit praktizieren
- Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken.
- Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten.
- DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen.
- Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung der Vorschriften und ihrem Auftrag herstellen.