Der Artikel von Daniela Gschwend zum FINMA-Rundschreiben 2023/1 befasst sich mit dem sicheren Umgang mit kritischen Unternehmensdaten – primär aus Optik der Information Governance. Um «Informationen sicher im Griff zu haben», muss man sie auch sicher managen – also primär im Alltag aber z.T. auch zeitlich weit darüber hinaus, wo es die gesetzlichen, regulatorischen oder teilweise auch unternehmensspezifischen Aufbewahrungsvorschriften gibt. Dieser Beitrag soll sich aber nicht mit der Aufbewahrung befassen, sondern mit einem wichtigen Teilaspekt von «Information Governance», dem aktiven Management wichtiger Informationen für verschiedenste Themen.
Im Bereich IT-/Informationssicherheit ist der Aspekt des Managements von sicherheitsrelevanten Informationen dermassen wichtig, dass z.B. die Hochschule Luzern im Rahmen eines ihrer CAS dafür einen ganzen Ausbildungstag investiert. An diesem Tag wird eine Informationsarchitektur behandelt, welche für alle strategischen, taktischen und betrieblichen Führungsaufgaben in der IT-/Informationssicherheit eine ausgezeichnete Unterstützung ermöglicht und damit einen optimalen Beitrag der Sicherheit zum Unternehmenserfolg leistet. Dieses Architekturmodell könnte wohl dahingehend erweitert werden, auch «alle» anderen kritischen Informationen eines Unternehmens in den Griff zu bekommen – nicht nur wie im nachfolgenden Abschnitt aufgezeigt die Informationen im Zusammenhang mit der IT-/Informationssicherheit.
Das – vom Autor entwickelte, über die Jahre vielfach erweiterte und in unterschiedlichsten Mandaten eingesetzte – Architekturmodell für den Umgang mit sämtlichen im Rahmen eines ISMS anfallenden Informationen basiert teilweise auf ISO27001 und besteht aus den drei Ebenen: Führungsprozesse (Governance), Kernprozesse (Management) und Unterstützungsprozesse (Support). Auch wenn nachfolgend nur noch von Informationen im Zusammenhang mit IT-/Informationssicherheit gesprochen wird, sind die hier aufgeführten Überlegungen auch übertragbar auf kritische Unternehmensdaten gemäss FINMA-Rundschreiben oder wohl sogar alle Informationsarten.
Es würde den Rahmen dieses Artikels sprengen, auf sämtliche der Kästchen im Architekturmodell einzugehen. Ein paar der praxisrelevanten Besonderheiten möchte ich aber vorstellen:
- Zuoberst befinden sich die für die Führung der IT-/Informationssicherheit benötigten Informationen – oben links die Vorgaben zur Unternehmenssteuerung (wie Sicherheitsstrategie, rechtliche Rahmenbedingungen usw.) und rechts die Kennzahlen oder Berichte zur Überwachung der Einhaltung der unterschiedlichsten Vorgaben.
- In der Mitte finden wir alle sicherheitsrelevanten Kernprozesse und die sie betreffenden Informationen. Diese Schicht ist nach dem «Plan-Do-Check-Act»-Modell aufgebaut, wie wir es z.B. bei ISO9000, ISO20000 oder ISO27000 finden. Im Unterschied zu ISO wird im obigen Architekturmodell aber die Phase «Do» noch in die beiden Segmente «Build» und «Run» aufgeteilt, was sich in der Unternehmenspraxis bestens bewährt! Im Rahmen der Entwicklung (Build) von automatisierten Geschäftsprozessen sind teilweise ganz andere Informationen relevant wie im späteren produktiven Betrieb (Run).
- Zuunterst sind unterstützende Prozesse und entsprechende sicherheitsrelevante Informationen aufgeführt. Auch hier lohnt es sich, diese Prozesse auf einem ausreichend hohen Maturitätsniveau zu betreiben – wie z.B. beim Umgang mit Ausnahmen: Gerade die Abweichungen von Vorgaben wie Richtlinien oder konkreten Implementierungsstandards müssen sehr gut gemanagt werden, damit kein Chaos entsteht.
- Die rot markierten Kästchen sind Elemente, welche in der ISO27000er-Serie gar nicht oder nur oberflächlich behandelt werden, aus meiner persönlichen Optik aber sehr wichtig sind.
Es lässt sich trefflich darüber streiten, ob ein bestimmtes Kästchen allenfalls eine Ebene höher oder tiefer untergebracht werden soll. Allenfalls sieht diese Architektur unternehmensspezifisch jeweils etwas anders aus. Jedes Kästchen muss mit «Leben gefüllt» werden – was eigentlich einfach zu sein scheint, in der harten Realität des Alltags aber oft sehr schwierig ist.
Wo anfangen? Warum nicht bei den von Daniela Gschwend in ihrem Artikel erwähnten kritischen Unternehmensdaten? Diese könnte man ja ähnlich behandeln wie die im Architekturmodell erwähnten sicherheitsrelevanten Informationen – ein Versuch wäre es sicherlich wert!
Der Autor
Peter R. Bitterli, Bprex Group AG; CISA, CISM, CGEIT, CRISC, CDPSE