Sicherheitskonzept

Ein Sicherheitskonzept ist das zentrale Steuerungsdokument der Informationssicherheit. Es beschreibt zusammenhängend, welche Informationen, Systeme und Prozesse eine Organisation schützt, welcher Schutzbedarf für Vertraulichkeit, Integrität und Verfügbarkeit besteht und mit welchen technischen und organisatorischen Maßnahmen (TOM) die identifizierten Risiken behandelt werden. Damit überführt es abstrakte Sicherheitsziele in konkrete, nachvollziehbare und prüfbare Festlegungen und bildet die Grundlage für Audits, Zertifizierungen und behördliche Nachweise.Inhaltlich umfasst ein vollständiges Sicherheitskonzept typischerweise die Beschreibung des Geltungsbereichs (Scope), die Strukturanalyse der Informationsverbünde, die Schutzbedarfsfeststellung, eine Risikoanalyse mit Risikobewertung sowie den Maßnahmenkatalog mit Verantwortlichkeiten, Umsetzungsstand und Wirksamkeitskontrolle. In der Praxis stützt es sich auf etablierte Rahmenwerke wie den BSI IT-Grundschutz, die ISO/IEC 27001 oder CISIS12 und ist eng mit dem Informationssicherheits-Managementsystem (ISMS), den Sicherheitsrichtlinien und dem Notfall- bzw. Business-Continuity-Management verzahnt.Rechtlich und regulatorisch gewinnt das Sicherheitskonzept zunehmend an Bedeutung: Die NIS2-Richtlinie und ihre nationale Umsetzung verlangen von besonders wichtigen und wichtigen Einrichtungen geeignete, dokumentierte Risikomanagementmaßnahmen, die Geschäftsleitung haftet für deren Umsetzung. Auch DORA, branchenspezifische Vorgaben sowie die Anforderungen von TISAX und Zertifizierungsstellen setzen ein gepflegtes, regelmäßig aktualisiertes Sicherheitskonzept voraus. Es ist kein statisches Dokument, sondern muss bei wesentlichen Änderungen der IT-Landschaft, der Bedrohungslage oder der Rechtslage fortgeschrieben werden.