Fachbegriffe aus der IT-Beratung von Keyldo

News

Keyldo-Berater bilden Datenschutzmanager aus
Weiterlesen …

 

Praxistipp von Keyldo: Wichtige Schritte zur Umsetzung der Datenschutz-Grundverordnung
Weiterlesen …

 

Wichtige Fachbegriffe

Keyldos Kompetenzen

Äpfel und Birnen kann man bekanntlich nicht vergleichen. Äpfel von Birnen zu unterscheiden, fällt ja auch leicht, weil beides (hoffentlich) recht häufig auf den Tisch kommt. In der Informationstechnik hingegen wimmelt es nur so von komplizierten Begriffen und Abkürzungen, die nicht unbedingt für alle so vertraut sind.

Unser Glossar soll helfen, Fachtermini aus der Keyldo-Beratungsarbeit zu verstehen. Schließlich ist ein gemeinsames Verständnis von Begriffen eine wichtige Vorrausetzung für die inhaltliche Diskussion, wenn es um so komplexe Angelegenheiten wie IT-Prozesse und Unternehmensstrategien geht.

Audit mit Zertifizierung

Beim Audit eines Managementsystems wird untersucht, ob die Anforderungen und Richtlinien an das Managementsystem erfüllt sind. Die Audits werden von speziell hierfür geschulten Auditoren durchgeführt. Vorgaben zum Audit macht die "DIN EN ISO 19011, Leitfaden zur Auditierung von Managementsystemen“.

Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz soll dazu beitragen, das Grundrecht auf informationelle Selbstbestimmung zu verwirklichen. Es setzt die Europäische Datenschutzrichtlinie 95/46/EG vom 24. Oktober 1995 um, die für den ganzen Europäischen Wirtschaftsraum einheitliche Datenschutzstandards gesetzt hat. Wichtiger Punkt: Der Datenschutz soll den Menschen vor der Gefährdung durch die nachteiligen Folgen einer Datenverarbeitung schützen. § 1 Absatz 1 BDSG umschreibt dies so: "Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.“

Was ist das BSI?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde 1991 gegründet und gehört zum Geschäftsbereich des Bundesministeriums des Innern. Es ist eine unabhängige und zentrale Stelle, die sich mit Fragen zur IT-Sicherheit befasst. Die Behörde wendet sich an die öffentliche Verwaltung, Wirtschaft, Wissenschaft und an Bürgerinnen und Bürger. Das BSI untersucht und bewertet Sicherheitsrisiken und schätzt die Auswirkungen neuer Entwicklungen ab. Informieren und  Beratung zu Fragen der IT-Sicherheit gehören zum Aufgabengebiet des BSI. Zudem entwickelt die Behörde IT-Sicherheitsanwendungen und -produkte. Das BSI prüft, bewertet und zertifiziert IT-Systeme hinsichtlich ihrer Sicherheitseigenschaften.

BSI IT-Grundschutz

Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz ermöglicht es, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Der IT-Grundschutz bietet Einsteigern und Fortgeschrittenen eine modulare und flexible Methode, um die Informationssicherheit in Behörden und Unternehmen zu erhöhen. Neben dem IT-Grundschutz-Kompendium gehören die BSI-Standards zu den grundlegenden Veröffentlichungen in der IT-Grundschutz-Methodik.

Der BSI-Standard 200-1 definiert allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS). Der BSI-Standard 200-2 bildet die Basis der BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS). Der BSI-Standard 200-3 zum Risikomanagement beinhaltet alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes.

Was ist eine CMM-Analyse?

Das Capability Maturity Model (CMM) ist ein Verfahren zur Beurteilung der Qualität ("Reife“) des Softwareprozesses von Organisationen. CMM dient zudem dazu, Maßnahmen zu bestimmen, um diesen Reifegrad zu verbessern.

COBIT 5

COBIT ist ein international anerkanntes Framework zur IT-Governance. Es gliedert die Aufgaben der IT in Prozesse und Control Objectives (Maßnahmenziele). COBIT definiert hierbei nicht vorrangig, wie die Anforderungen umzusetzen sind, sondern primär, was umzusetzen ist.

Was ist ein Compliance Check?

Beim Compliance Check untersuchen wir Ihre Datenintegrität.
Sie erhalten:

  • einen Maßnahmenkatalog
  • eine Einstufungs-Analyse (Basel II/ISO 20000)
  • eine Quick-Win-Bestimmung
  • eine Schwachstellen-Ist-Analyse

Datenschutzbeauftragter

Ein Datenschutzbeauftragter wirkt in einer Organisation auf die Einhaltung des Datenschutzes hin. Die Person kann Mitarbeiter dieser Organisation sein oder als externer Datenschutzbeauftragter bestellt werden.

DIN EN ISO 19011

ISO 19011 ist ein Leitfaden zur Auditierung von Managementsystemen, zum Beispiel eines Informationssicherheit-Managementsystems (ISMS) nach ISO/IEC 27001. Die Norm ISO 19011 ist auf alle Organisationen anwendbar, die interne oder externe Audits von Managementsystemen durchführen oder für das Management eines Auditprogramms verantwortlich sind. Es bleibt jeder Organisation selbst überlassen zu entscheiden, ob und wenn ja, welche Teile des Leitfadens für das eigene Unternehmen hilfreich, sinnvoll und umsetzbar sind. In Deutschland ist die Norm als DIN-Norm DIN EN ISO 19011 veröffentlicht.

Audits, die von Zertifizierungsgesellschaften mit dem Ziel der Zertifizierung oder Zertifikatsaufrechterhaltung von Managementsystemen durchgeführt werden, sind in der Norm ISO/IEC 17021 festgelegt.

DIN ISO/IEC 27001

Die internationale Norm DIN ISO/IEC 27001 Information Security Management System spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems (ISMS) unter Berücksichtigung der IT-Risiken innerhalb der gesamten Organisation. Hierbei werden sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen) berücksichtigt. Dieser Standard ist Teil der ISO/IEC 2700x-Familie.

Was ist die EU-Datenschutz-Grundverordnung?

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist das neue Datenschutzrecht in der Europäischen Union. Sie soll zu einer weitgehenden Vereinheitlichung des europäischen Datenschutzrechts führen. Ab 25. Mai 2018 ist die Datenschutz-Grundverordnung für alle EU-Mitgliedstaaten bindend. Sie regelt unter anderem den Umgang mit und den Schutz von personenbezogenen Daten.

Was ist das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU?

Deutschland musste seinen Datenschutz an das geänderte Datenschutzrecht der EU anpassen. Deshalb wurde am 05.07.2017 das "Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680" (kurz: DSAnpUG-EU) im Bundesgesetzblatt verkündet. Das Gesetz tritt als neues Bundesdatenschutzgesetz (BDSG) am 25.05.2018 in Kraft. Das novellierte BDSG ergänzt die EU-Datenschutz-Grundverordnung, die in Deutschland ab 25.5.2018 gilt.

Was ist eine Gap-Analyse?

Die Gap-Analyse oder auch Lückenanalyse ist ein Management-Instrument zur Identifizierung von Lücken. Durch die Analyse der Differenz zwischen Soll-Vorgabe und Ist-Situation lässt sich der noch zu erarbeitende Teil des Systems ermitteln.

Was ist ein Health Check?

Beim Health Check untersuchen wir die Prozesse in Ihrem Unternehmen.
Sie erhalten:

  • eine Reifegradbestimmung (Ist-Zustand)
    Der Reifegrad eines Prozesses wird ermittelt, indem die prozessunterstützenden Funktionen betrachtet werden. Sind alle erforderlichen Funktionen vorhanden, ist der Reifegrad hoch. Sind diese Funktionen mit Funktionen angrenzender Prozesse verbunden, erhöht sich der Reifegrad.
  • eine Soll-Reifegradbestimmung
    Jedes Unternehmen benötigt individuelle und unterschiedliche Prozessfunktionen. Gemeinsam mit dem Unternehmen wird die angestrebte Ausprägung der Prozesse definiert (Soll-Reifegrad).
  • eine Quick-Win-Bestimmung
    Neben der eigentlich angestrebten Wirkung ergeben sich durch die Einführung von Prozessfunktionen zusätzliche Einzeleffekte, die als "Quick-Wins“ bereits vor Beendigung des Projektes eine positive Wirkung haben.
  • einen Maßnahmenkatalog
    Um die in der Soll-Reifegradbestimmung definierten Funktionen einführen zu können, erarbeiten wir einen Umsetzungsplan auf Basis eines Maßnahmenkatalogs

Information Security Management System (ISMS)

Das Information Security Management System ist ein Rahmen von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Der Begriff wird im Standard ISO/IEC 27002 verwendet. ISO/IEC 27001 definiert die Anforderungen an ein ISMS.

Was ist ISIS12?

Das Netzwerk Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitscluster e.V. hat ISIS12 für mittelständische Unternehmen und Organisationen entwickelt. Die Bezeichnung ISIS12 leitet sich von "Informationssicherheits-Management-System in zwölf Schritten" ab. Das Vorgehensmodell wurde auf die Bedürfnisse von mittelständischen Unternehmen und Organisationen zugeschnitten. Bei diesem Ansatz werden IT-Service-Management und Informations-Sicherheitsmanagement verknüpft.

Das Vorgehensmodell kann als mögliche Vorstufe zur ISO/IEC 27001- bzw. zur BSI-IT-Grundschutz-Zertifizierung verwendet werden. ISIS12 enthält einen reduzierter Maßnahmenkatalog im Vergleich zum BSI-Grundschutz und kann mittels des ISIS12-Handbuchs und des ISIS12-Katalogs eingeführt werden. Dazu sind ausgebildete und zertifizierte Berater notwendig.

ISO 19011

Die ISO 19011 ist ein Leitfaden zur Auditierung von Managementsystemen, zum Beispiel des Information Security Management Systems (ISMS). Die Norm ist anwendbar auf alle Organisationen, die interne oder externe Audits von Managementsystemen durchführen oder für das Management eines Auditprogramms verantwortlich sind.

Audits, die von Zertifizierungsgesellschaften mit dem Ziel der Zertifizierung oder Zertifikatsaufrechterhaltung von Managementsystemen durchgeführt werden, werden durch die ISO 19011 nicht geregelt. Anforderungen an diese Audits sind in der Norm ISO/IEC 17021 festgelegt.

ISO/IEC 20000

ISO/IEC 20000 ist eine international anerkannte Norm zum IT-Service-Management. Sie dokumentiert die Anforderungen an ein professionelles IT-Service-Management.

Der Standard beschreibt, wie IT-Prozesse aufgesetzt sind und ineinander greifen, die für eine effektive Erbringung von Services relevant sind.

Eine Zertifizierung ist für Organisationseinheiten möglich; ein erworbenes Zertifikat muss alle drei Jahre erneuert werden.

Was ist ein IT-Betriebshandbuch?

Ein IT-Betriebshandbuch dient der Sicherstellung des reibungslosen Betriebs der IT-Systeme und der Betriebsabläufe.

Alle Maßnahmen, die für den Betrieb eines IT-Systems erforderlich sind, werden darin beschrieben, zum Beispiel, wo wichtige Dokumente abgelegt oder Backup-Daten gespeichert sind.

Neben der Beschreibung der Systeme und dem Betrieb dieser Systeme sind insbesondere auch die Rollen/Personen mit allen erforderlichen Kompetenzen dargestellt.

Alle Services und Prozesse sind nachvollziehbar sowie Dokumente schnell und leicht auffindbar.

IT-Grundschutz des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) brachte mit dem IT-Grundschutz 2006 ein Konzept für die Umsetzung eines Informationssicherheits-Managementsystems (ISMS) heraus. Der IT-Grundschutz bietet mit seinen Standards in Kombination mit den IT-Grundschutz-Katalogen (bis 2006 "IT-Grundschutzhandbuch“ genannt) Hilfestellungen bei der Einführung und Aufrechterhaltung eines ISMS. Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst.

Was ist ITIL?

ITIL (IT Infrastructure Library) dokumentiert, wie IT-Dienstleistungen zweckmäßig und wirtschaftlich erbracht werden können.

IT-Services werden kundenorientierter gestaltet, indem die Verantwortlichkeiten innerhalb der IT-Prozesse eindeutig festgelegt und effektive, auf den Kunden ausgerichtete Abläufe eingeführt werden. In den vergangenen Jahren wurde ITIL zum weltweiten De-Facto-Standard für IT-Service-Management.

ITIL ist gerade dann sehr hilfreich, wenn der Betrieb der IT-Infrastruktur ausgelagert wird. Über ITIL können die in solchen Fällen notwendigen Kunden-Lieferanten-Beziehungen definiert werden.

Was ist ein Lastenheft?

Ein Lastenheft beschreibt die Anforderungen des Auftraggebers an die Lieferungen und Leistungen eines Auftragnehmers. Es ist z.B. im Software-Bereich das Ergebnis einer Anforderungsanalyse. Das Lastenheft kann der Auftraggeber im Rahmen einer Ausschreibung verwenden und an die potentiellen Auftragnehmer verschicken. Mögliche Auftragnehmer erstellen auf Grundlage des Lastenheftes ein Pflichtenheft, welches beschreibt, wie der Auftragnehmer die Anforderungen im Lastenheft zu lösen gedenkt.

Was ist eine Make-or-Buy-Analyse?

Bei der Make-or-Buy-Analyse untersuchen wir Ihre Services auf Outsourcing-Potenziale.
Sie erhalten:

  • eine Aufstellung optimierbarer Services
    In den Abläufen eines Unternehmens gibt es eine Vielzahl an Services und Prozessen, die nicht mittelbar zur Wertschöpfung beitragen oder kein Unternehmens-Know-how erfordern. Im Rahmen einer Make-or-Buy-Analyse betrachten wir alle im Unternehmen existierenden Services und Prozesse und untersuchen, ob es sinnvoller ist, sie im Unternehmen zu lassen oder sie auszulagern.
  • einen Maßnahmenkatalog
    Um die in der Aufstellung ermittelten Services oder Prozesse optimieren zu können, sind die unterschiedlichsten Maßnahmen erforderlich. Um diese koordiniert durchzuführen, erstellen wir einen Umsetzungsplan auf Basis eines Maßnahmenkatalogs.
  • eine Quick-Win-Bestimmung
    Neben der eigentlich angestrebten Wirkung ergeben sich durch die Auslagerung von Prozessen oder Services zusätzliche Einzeleffekte, die als „Quick-Wins“ bereits vor Beendigung des Projektes eine positive Wirkung haben.
  • eine Servicekosten-/Servicenutzen-Analyse
    Im Rahmen dieser Analyse wird der Nutzen für das Unternehmen betrachtet, den eine Auslagerung der betreffenden Prozesse oder Services mit sich bringen würde. Dagegengestellt werden die Kosten der Auslagerung.

Was ist ein Pflichtenheft?

Das Pflichtenheft beschreibt konkret, wie der Auftragnehmer die Anforderungen des Auftraggebers erfüllen will. Der Auftraggeber beschreibt vorher im Lastenheft möglichst präzise die Gesamtheit der Forderungen. Erst wenn der Auftraggeber das Pflichtenheft akzeptiert, beginnt die Umsetzung beim Auftragnehmer.

Was ist VdS 3473?

Die VdS Schadenverhütung GmbH hat branchenneutrale Richtlinien entwickelt, mit denen kleine und mittelständische Unternehmen (KMU) eine angemessene Informationssicherheit einrichten und aufrechterhalten können. Diese Richtlinien werden als VdS 3473 bezeichnet. Sie basieren auf dem Standard ISO 27001 und dem IT-Grundschutz des BSI. Da kleine und mittelständische Unternehmen nur über begrenzte Ressourcen verfügen, enthalten die Richtlinien VdS 3473 Mindestanforderungen an die Informationssicherheit, ohne die Unternehmen organisatorisch oder finanziell zu überfordern. Aus den VdS-Richtlinien können Unternehmen Maßnahmen und Prozesse ableiten, um ihre Informationstechnologie auf ein angemessenes Schutzniveau zu heben, jedoch mit einem viel geringeren Aufwand als für eine ISO-27001-Zertifizierung. Eine Zertifizierung nach VdS 3473 kann der erste Schritt zur Zertifizierung nach ISO 27001 sein.