|
|
| Zeile 9: |
Zeile 9: |
| ===== Weblinks ===== | | ===== Weblinks ===== |
|
| |
|
|
| |
| = TMP =
| |
| == Verfahren ==
| |
| ; Sorgfaltspflicht
| |
| * Die Begriffe "vernünftige und umsichtige Person", "[[Sorgfaltspflicht]]" und "Sorgfaltspflicht" werden seit vielen Jahren in den Bereichen Finanzen, Wertpapiere und Recht verwendet.
| |
| * In den letzten Jahren haben diese Begriffe auch in den Bereichen Informatik und Informationssicherheit Einzug gehalten.
| |
|
| |
| ; Einhaltung von Gesetzen und Vorschriften
| |
| In der Geschäftswelt erwarten Aktionäre, Kunden, Geschäftspartner und Regierungen, dass die Unternehmensleitung das Unternehmen in Übereinstimmung mit anerkannten Geschäftspraktiken und unter Einhaltung von Gesetzen und anderen Vorschriften führt.
| |
| * Dies wird oft als die Regel der "vernünftigen und umsichtigen Person" beschrieben.
| |
| * Eine umsichtige Person achtet darauf, dass alles Erforderliche getan wird, um das Unternehmen nach soliden Geschäftsprinzipien und auf legale, ethische Weise zu führen.
| |
| * Eine umsichtige Person ist auch gewissenhaft (aufmerksam, fortlaufend) in ihrer Sorgfaltspflicht gegenüber dem Unternehmen.
| |
|
| |
| ; "due care" und "due diligence"
| |
| Im Bereich der Informationssicherheit bietet Harris die folgenden Definitionen der Begriffe "due care" und "due diligence" an:
| |
| :''"Due care are steps that are taken to show that a company has taken responsibility for the activities that take place within the corporation and has taken the necessary steps to help protect the company, its resources, and employees''.
| |
| ''."'' Und <nowiki>[Due Diligence sind die]</nowiki> ''"kontinuierliche Aktivitäten, die sicherstellen, dass die Schutzmechanismen kontinuierlich aufrechterhalten werden und funktionsfähig sind."'''
| |
|
| |
| ; Bei diesen Definitionen sollten zwei wichtige Punkte beachtet werden.
| |
| * Erstens werden bei der Sorgfaltspflicht Schritte unternommen, die sich nachweisen lassen; das bedeutet, dass die Schritte überprüft und gemessen werden können oder sogar greifbare Artefakte hervorbringen.
| |
| * Dies bedeutet, dass Menschen tatsächlich etwas tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und dass diese Aktivitäten fortlaufend sind.
| |
|
| |
| ; Organisationen haben eine Verantwortung
| |
| Sorgfaltspflicht bei der Anwendung der Informationssicherheit praktizieren
| |
| * Der Duty of Care Risk Analysis Standard (DoCRA) bietet Grundsätze und Praktiken für die Bewertung von Risiken.
| |
| * Dabei werden alle Parteien berücksichtigt, die von diesen Risiken betroffen sein könnten.
| |
| * DoCRA hilft bei der Bewertung von Schutzmaßnahmen, ob diese geeignet sind, andere vor Schaden zu bewahren und gleichzeitig eine angemessene Belastung darstellen.
| |
| * Angesichts der zunehmenden Rechtsstreitigkeiten im Zusammenhang mit Datenschutzverletzungen müssen Unternehmen ein Gleichgewicht zwischen Sicherheitskontrollen, Einhaltung der Vorschriften und ihrem Auftrag herstellen.
| |
|
| |
|
| === Sicherheits-Governance === | | === Sicherheits-Governance === |