Not logged in.
Quick Search - Contribution
Contribution Details
| Type | Dissertation |
| Scope | Discipline-based scholarship |
| Title | Management der Informationssicherheit in Unternehmen |
| Organization Unit | |
| Authors |
|
| Supervisors |
|
| Institution | University of Zurich |
| Faculty | Faculty of Economics, Business Administration and Information Technology |
| Date | 2000 |
| Abstract Text | An Information-Oriented Examination of the Reference Object, the Subjects, Institutions, Instruments and Processes of Information Security. Implementing information security in a business environment is complex and time-consuming. Many forces and influences contribute to the positive outcome of an information security project. Therefore it is an advantage to know as many of them as early as possible. These influences are examined and formalised in this dissertation and have been arranged as a framework. They have been integrated as a process. There is one most important prerequisite to successfully manage information security: Getting top management commitment to implement information security and to free the resources needed to do so. Initially, this requires management to agree on an appropriate, uniquely formulated information security goal. Actual information security related goals can then be deduced from the general business policy. Business environment developments must be considered as well as internal requirements. An information security policy - informally in the beginning - begins to develop. This policy must be communicated within the enterprise as early and as consistently as possible and must be lived after exemplarily. Based on this policy, an enterprise-wide organisation must be brought into life. It is needed to initialise and to support the execution of a corresponding information security project within the enterprise. This organisation, which can be lead by an Information Security Delegate, has the following tasks: * To formulate, to formalise and to spread the information security policy, * to split the overall project into individual, manageable parts and subjects, e.g. in accordance to department boundaries, * to promote the co-operation of information security activities between existing institutions inside the enterprise and its integration into business processes, * to supply strategic and tactical methodologies and procedures to implement information security within the individual departments, * to co-ordinate the information security activities, most importantly when problems must be solved at a level superior to an individual project, * to take care of, to provide advice for and to promote the individual information security projects, * to collect know-how and to pass it on, * to supply tools for information security administration, awareness promotion etc., and * to check on implementation and results. Furthermore, a role model has to be defined. It should describe the information security responsibilities, functions and authorities of each individual person in the enterprise. This model must be formulated in such a way that each person fits into at least one of the roles. In the proposal formulated in this dissertation, it is the duty of one person per department to co-ordinate local implementation of information security (this role is called Information Security Co-ordinator). This person must guide a process covering the following activities: * To set the boundaries of the investigation target, concerning width and depth. Setting the width boundary is done by the express inclusion or exclusion of parts of the object investigated. Setting the depth boundary is done by limiting the investigation to specified kinds of objects (information, hardware, software, co-workers etc.) and by restricting the requirements to be considered (availability, confidentiality, obligation etc.), * to identify and to administer protection objects, possibly collecting additional characteristics (requirements on the individual objects, important risks, object values etc.), * to carry out a general risk analysis to identify major risks which the protection objects are subject to, * to carry out specific risk analysises for the more exact consideration of important risks, * to select measures to reduce the identified risks, * to discuss and to promote decisions on measures to reduce the identified risks, considering costs and setting deadlines, * to co-ordinate the implementation of measures, and * to check on implementation, done by the person in charge, by those affected, by the Information Security Delegate and by other parties. These components (goal, organisation, role model, process) make up the Information Security Management Framework, which is presented in this dissertation. A short description can be found in chapter 1. A broad view is presented at the beginning of chapter 3 and it is described in detail in chapters 3 to 6. The framework looks at information security as a management function. It is deduced it from the approaches of Rühli Rühli85 and Heinrich Heinrich93. Part I and II of this dissertation are structured according to these approaches: * The foundation (chapter 2) identifies and defines terms an general information security goals and concepts, * the reference object (chapter 3) defines which part of the enterprise must be selected for information security and how it must be split into parts, * the elements of information security (chapter 4) cover institutions, motivations, specific goals and instruments, * the activities of information security (chapter 5) describe the various information security subjects which can be applied to the parts of the reference model, * the information security process (chapter 6) describes the procedure in four cycles with five phases each. A framework like this has not been described yet in any known approach. The existing procedures, which have mostly proven useful in practice, are subjected to a detailed analysis nevertheless, in order to identify their strengths and weaknesses. Is it deduced from this analysis how a new procedure must be constituted, if it were to combine the strengths and to avoid the weaknesses. This new procedure, called ""ISIWAY 4"", covers the four framework components and is defined step by step in chapter 8. ISIWAY 4 is the first of two ways in which the framework is put into concrete form. It defines the procedure to reach information security in four cycles (hence the 4 in ISIWAY 4), called Minimal Information Security, Appropriate Information Security, Risk-Related Information Security and Comprehensive Information Security. ISIWAY 4 will be subjected to the same detailed analysis as the existing procedures mentioned before, in order to explain how the requirements are fulfilled. The requirements of the new procedure will are divided in the groups Initiation, Organisation, Implementation and Content. ISIWAY 4 has been designed to be adaptable and scalable. Another required property of ISIWAY is ease of use. In order to achieve this, the procedure must not be too complex. The full ISIWAY 4 procedure is complex, so a more simple version was designed, which can be applied in smaller projects, or which may serve as an introduction to the information security process and should be easier to learn. ISIWAY 1.5 is such a simplification. It will be introduced in chapter 10 and is the second way described here to put the Information Security Framework in concrete. Additionally, this procedure is fully supported by a tool named ISIGO 1.5. This tool is presented in chapter 9 and supports the execution of each step of the ISIWAY 1.5 procedure. In addition, it considers some items of the ISIWAY 4 procedure presented in chapter 8 and is based on structures of an overall data model, which is presented in chapter 9 under the title of ISIGO CENTRAL. Thus, this dissertation offers a structured, broadly supported and detailed analysis of the information security problem field, defines an information security management framework as a general solution, contains two procedures named ISIWAY 4 and ISIWAY 1.5 which differ in complexity, and it supplies a corresponding tool named ISIGO 1.5. Therefore, all components necessary to implement information security efficiently and effectively in a business environment have been presented in this dissertation. In particular, the framework developed here (part II) can be used as a basis for further work in the information security management field. |
| Zusammenfassung | Eine informationsorientierte Betrachtung von Bezugsobjekt, Inhalten, Institutionen, Instrumenten und Prozessen der Informationssicherheit. Die Umsetzung der Informationssicherheit in einer Unternehmung ist komplex und aufwendig. Das Gelingen eines Informationssicherheitsprojektes hängt von vielen Voraussetzungen ab, die es im Rahmen eines Umsetzungsprojektes möglichst früh zu erkennen gilt. Ein Überblick über das Fachgebiet ist notwendig und wird in dieser Dissertation als Rahmenwerk definiert und in einem Prozess konkretisiert. Wichtigste Voraussetzung für das erfolgreiche Management der Informationssicherheit ist die Unterstützung der obersten Unternehmungsführung und der Wille, dieses Thema in der eigenen Unternehmung konsequent zu betrachten und die dazu notwendigen Mittel bereitzustellen. Die Einigung auf eine entsprechende, eindeutig formulierte Zielsetzung ist der erste Schritt dazu. Die spezifischen Ziele der Unternehmung bzgl. Informationssicherheit können dann aus den unternehmerischen Zielen hergeleitet und zu diesen in Beziehung gesetzt werden. Dabei werden Entwicklungen des unternehmerischen Umfeldes ebenso berücksichtigt wie interne Anforderungen. Aus diesen Zielen kann eine (zunächst informelle) Informationssicherheitspolitik formuliert werden. Diese Politik muss so früh und so konsequent wie möglich innerhalb der Unternehmung kommuniziert und vorbildlich gelebt werden. Aufbauend auf der Politik wird eine unternehmensweite Organisation ins Leben gerufen, welche die Durchführung eines Projektes zur Umsetzung der Informationssicherheit innerhalb der Unternehmung vorantreibt. Diese Organisation - z.B. unter Leitung eines Informationssicherheitsbeauftragten - hat folgende Aufgaben: * Formulierung, Formalisierung und Kommunikation der Informationssicherheitspolitik, * Unterteilung des Gesamtprojektes in einzelne, handhabbare Blöcke und Bereiche, z.B. gemäss Abteilungsgrenzen, * Förderung bzw. Festlegung der Integration der Sicherheitstätigkeiten in die bestehenden Stellen, * Bereitstellung von strategischen und taktischen Vorgehensweisen und Verfahren, um Informationssicherheit in den einzelnen Bereichen umzusetzen, * Koordination der Informationssicherheitsarbeiten, insbesondere bei Problemen, welche bereichsübergreifend gelöst werden müssen, * Betreuung, Beratung und Förderung der einzelnen Informationssicherheitsprojekte, * Aufbau und Weitergabe von Know-how, * Bereitstellung von Hilfsmitteln für die Sicherheitsadministration, Sensibilisierung etc., * Kontrolle der Umsetzung und der Resultate. Weiterhin kann ein Rollenmodell festgelegt werden, welches die Verantwortungen, Aufgaben und Kompetenzen jeder einzelnen Person in der Unternehmung hinsichtlich Informationssicherheit beschreibt. Jede Person erhält dann mindestens eine (evtl. mehrere) dieser Rollen. Im hier beschriebenen Vorschlag koordiniert eine Person aus jeder Abteilung die Umsetzung der Informationssicherheit (Rolle des Koordinators für Informationssicherheit). Diese Person durchläuft einen Prozess, der folgende Tätigkeiten umfasst: * Abgrenzung des Untersuchungsobjektes bzgl. Breite und Tiefe. Die Abgrenzung in der Breite geschieht durch die ausdrückliche Zuordnung bzw. den Ausschluss von schützenswerten Objekten aus der Untersuchung. Die Abgrenzung der Tiefe geschieht durch Beschränkung auf einzelne Objektgruppen (Informationen, Hardware, Software, Personen etc.) und die Einschränkung der zu betrachtenden inhaltlichen Anforderungen an die Informationssicherheit (Verfügbarkeit, Vertraulichkeit etc.), * Identifikation und Inventur der schützenswerten Objekte evtl. mit Erfassung aller relevanten Eigenschaften (konkrete Anforderungen an die einzelnen Objekte, Beschreibung wichtiger Risiken, Werte der Objekte etc.), * Allgemeine Risikoanalyse zur Identifikation übergreifender Risiken, denen die Objekte unterliegen, * Spezifische Risikoanalyse zur genaueren Betrachtung hoher Risiken, * Massnahmenauswahl zur Reduktion der identifizierten Risiken, * Massnahmendiskussion und -beschluss zur Bestimmung der Budgets, zur Festlegung der Umsetzungstermine und zur Vergabe der Aufträge (Realisierungsplan), * Koordination der Massnahmenumsetzung gemäss festgelegtem Realisierungsplan, * Kontrolle der Umsetzung durch die verantwortliche Person selbst, durch die Betroffenen, den Informationssicherheitsbeauftragten und weitere Stellen. Diese Komponenten (Ziel, Organisation, Rollenmodell, Prozess) bilden gemeinsam das Rahmenwerk der Informationssicherheit, welches in dieser Dissertation in Kapitel 1 kurz vorgestellt, zu Beginn von Kapitel 3 gesamthaft und in den Kapiteln 3 bis 6 detailliert beschrieben wird. Das Rahmenwerk betrachtet Informationssicherheit als Managementaufgabe und leitet sie aus den Ansätzen von Rühli (Zürcher Führungsansatz Rühli85) und Heinrich (Grundlegung des Informationsmanagements Heinrich93) her. Teile I und II dieser Dissertation sind entsprechend der Unterteilung dieser Ansätze strukturiert: * In den Grundlagen (Kapitel 2) werden die Begriffe und allgemeinen Ziele der Informationssicherheit identifiziert und beschrieben, * das Bezugsobjekt (Kapitel 3) identifiziert, worauf sich Informationssicherheit bezieht, welcher Teil der Unternehmung für die Betrachtung der Informationssicherheit ausgewählt werden muss und wie er unterteilt werden kann, * die Elemente der Informationssicherheit (Kapitel 4) umfassen die Betrachtung der Institutionen, der Motivationen, der Ziele und der Werkzeuge der Informationssicherheit, * die Tätigkeiten der Informationssicherheit (Kapitel 5) umfassen die verschiedenen Sicherheitsfachgebiete, welche aus der Strukturierung des Bezugsobjekts gemäss Kapitel 3 hervorgehen und * der Prozess der Informationssicherheit (Kapitel 6) umfasst die Vorgehensweise der Informationssicherheit in vier Zyklen mit je fünf Phasen. Neu und einzigartig an der vorliegenden Arbeit ist die Definition eines derart breit abgestützten Rahmenwerks. Zur kritischen Beurteilung dieser Arbeit werden die bestehenden Verfahren, welche sich in der Praxis bewährt haben, einer eingehenden Analyse unterzogen, um ihre Stärken und Schwächen anhand von Vergleichen mit dem Rahmenwerk zu identifizieren. Aus dieser Analyse wird sodann ein neues Verfahren hergeleitet und hier beschrieben, wobei die Anforderungen an dieses neue Verfahren sich aus der Einbindung der erkannten Stärken und der Vermeidung der Schwächen der etablierten Verfahren ergeben. Dieses neue Verfahren berücksichtigt die vier Komponenten des Rahmenwerks und wird in Kapitel 8 unter dem Namen ISIWAY 4 Schritt für Schritt definiert. Es stellt die erste Konkretisierung des Rahmenwerks dar und definiert das Vorgehen zur Erreichung von Informationssicherheit in den vier Zyklen Minimale Informationssicherheit, Angepasste Informationssicherheit, Risikogerechte Informationssicherheit und Umfassende Informationssicherheit (daher die Bezeichung ISIWAY 4). Es wird anschliessend kritisch beurteilt und an den zuvor gestellten Anforderungen gemessen. Die Anforderungen an das neue Verfahren werden in die Bereiche Auslösung, Organisation, Durchführung und Fachbereiche unterteilt. ISIWAY 4 wurde darauf angelegt, parametrisierbar und skalierbar zu sein. Bei der kritischen Beurteilung wurde festgestellt, dass im Teilkriterium Erlernbarkeit (als Teil des Kriteriums Organisation) die grösste Diskrepanz zwischen den Anforderungen an das neue Verfahren und der Bewertung dieses Verfahrens entstand. Deshalb wurde eine vereinfachte Variante erstellt, die nicht nur leichter erlernbar ist, sondern sich zudem auch für kleinere Projekte und als Einstieg in ISIWAY 4 eignen soll. Dieses Verfahren wird in Kapitel 10 beschrieben wird und stellt die zweite Konkretisierung des Rahmenwerkes dar. Es enthält nur noch einen Zyklus mit einigen Zusätzen und wird deshalb ISIWAY 1.5 genannt. Zusätzlich wird dieses Verfahren vollumfänglich von einem Hilfsmittel namens ISIGO 1.5 unterstützt. Dieses Werkzeug wird in Kapitel 9 erläutert und unterstützt den Durchführenden in jedem Schritt des Verfahrens ISIWAY 1.5. Darüber hinaus berücksichtigt es auch einige Elemente des allgemeinen, in Kapitel 8 vorgestellten ISIWAY-Verfahrens und baut auf einem übergreifenden Datenmodell auf, das in Kapitel 9 unter dem Titel ISIGO CENTRAL konzipiert wird. Insbesondere lässt sich ISIWAY 1.5 in Verbindung mit ISIGO 1.5 vollkommen unabhängig von dieser Dissertation einsetzen. Gesamthaft bietet diese Dissertation also eine strukturierte, breit abgestützte und detaillierte Analyse des Problemfeldes Informationssicherheit, ein Rahmenwerk für die strategische, taktische und operative Umsetzung der Informationssicherheit in einer Unternehmung sowie zwei unterschiedlich komplexe Realisierungsvorschläge namens ISIWAY 4 und ISIWAY 1.5 mit einem dazu passenden Hilfsmittel namens ISIGO 1.5. Es werden somit alle Bestandteile zur Verfügung gestellt, um Informationssicherheit im unternehmerischen Umfeld effizient und effektiv umzusetzen. Insbesondere kann das hier entwickelte Rahmenwerk (Teil II) als Grundlage für weitere Arbeiten im Bereich des Managements der Informationssicherheit verwendet werden. |
| PDF File |
Download
|
| Export |
BibTeX
EP3 XML (ZORA)
|