SICHERHEITSKONZEPT: PRÜFE WER SICH EWIG BINDET
Prüfe wer, sich ewig bindet, ob sich das Herz zum Herzen findet. Der Wahn ist kurz, die Reu‘ ist lang.
Schon Friedrich Schiller kannte die Methoden einer überlegten und strukturierten Vorgangsweise, bevor man eine Verbindung eingeht. Exakt diese Überlegung ist auch zu treffen bevor ein neues IT-System Verbindungen eingeht.
Ein schriftlich definiertes Sicherheitskonzept (SiKo) ist die Fortführung der strukturierten Vorgangsweise eines ISMS.
Das Ziel eine SiKo ist es Risiken und Gefährdungen zu ermitteln und dafür angemessene Sicherheitsmaßnahmen festzulegen. Die Restrisiken werden ermittelt und durch die Verantwortlichen akzeptieren zu lassen.
Ein schriftlich definiertes Sicherheitskonzept ist die Fortführung der strukturierten Vorgangsweise eines ISMS.
Im IT-Umfeld bedeutet ein SiKo vor der Inbetriebnahme jedes neuen Systems die am System verarbeiteten Daten zu klassifizieren und dann die erforderlichen Maßnahmen zu setzten. Der Umfang des Konzeptes hängt stark von der Kritikalität der verarbeiteten Daten und der Komplexität der eingesetzten Systeme ab. Oft definiert sich das SiKo direkt aus den Mindestsicherheitsmaßnahmen für IT-Systeme, die ggfls. durch höherwertige Sicherheitsmaßnahmen erweitert werden müssen.
Ein Sicherheitskonzept besteht in der Minimalform aus:
- Bestandaufnahme und Strukturanalyse der verarbeiteten Daten und beteiligten Systeme
- Durchführung einer Schutzbedarfsfeststellung
- Erfassung der Gefährdungen und Bewertung derselben
- Definition der erforderlichen Maßnahmen
- Bewertung und Dokumentation der Restrisiken
Das Ziel des SiKo ist es, die verarbeiteten Daten zu schützen und die Nachvollziehbarkeit der implementieren technischen und organisatorischen Maßnahmen zu gewährleisten. Während der gesamten Nutzungsdauer eines Systems soll das benötigte Sicherheitsnivea aufrechterhalten werden.
SEC4YOU unterstützt gerne bei der Erstellung von Sicherheitskonzepten, hierbei werden alle Punkte der Minimalform strukturiert erarbeitet und dokumentiert.
Das Datenschutzkonzept im Rahmen der DSGVO
Ein Datenschutzkonzept (DSK) – auch wenn es „Schutz“ Konzept lautet — wird die verarbeiteten Daten nicht schützen, sondern zielt darauf ab die Rechte der betroffenen Personen schützen. Im Zuge der DSGVO nimmt die Bedeutung der Erstellung DSK zu, da nur so gewährleistet werden kann, dass die notwendigen Datenschutzmaßnahmen in allen Bereichen definiert und wirksam sind.
Die Verantwortung für die Erstellung eines DSK liegt beim Serviceverantwortlichen und nicht beim Datenschutzbeauftragten, da der Datenschutzbeauftragte in der Regel nur die Strukturen schaffen muss, nicht aber alle Anwendungen direkt verantwortet.
In einem DSK werden folgende Vorgaben festgelegt:
- Definition der Vorgaben für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten
- Definition der Maßnahmen, um primär den Missbrauch von personenbezogenen Daten zu verhindert und die Einhaltung der Anforderungen des Datenschutzgesetztes sicherzustellen
Das DSK einer Anwendung definiert den Soll-Zustand der im Zuge der DSGVO zu dokumentieren ist.
Das Ziel des DSK ist es die Anforderungen des Datenschutzgesetzes zu erfüllen, indem die Persönlichkeitsrechte der betroffenen Personen geschützt werden und die hierfür erforderlichen technischen und organisatorischen Maßnahmen zu beschreiben.
Bei der Umsetzung von DSK nutzt SEC4YOU die im Sicherheitskonzept erarbeiteten Maßnahmen und erweitert diese um spezifische datenschutzrechtliche Maßnahmen.
IHRE VORTEILE
-
Ein Sicherheitskonzept ist eine strukturierte Vorgangsweise vor der Einführung eines neues Services
-
Ermittelt die Risiken und Gefahren und legt dafür angemessene Sicherheitsmaßnahmen fest
-
Definition des benötigten Sicherheitsniveau über die gesamte Nutzungsdauer
-
Ein Datenschutzkonzept soll die Rechte der betroffenen Personen schützen, nicht die verarbeiteten Daten
Fragen zu Sicherheitskonzepten und Datenschutzkonzepten?
Sie möchten mit einem Experten sprechen?
