Dieses Merkblatt richtet sich an Schweizer KMU und soll ihnen helfen, die Informationssicherheit in Ihrem Unternehmen zu erhöhen.
Das Merkblatt ist in zwei Bereiche unterteilt:
- Organisatorische Massnahmen erhöhen oder stellen die Informationssicherheit sicher.
- Technische Massnahmen erhöhen oder stellen die Sicherheit der IT-Infrastruktur sicher.
Technische Massnahmen leisten einen wesentlichen Beitrag zur Gewährleistung der Informationssicherheit. Jedoch müssen diese technische Massnahmen durch organisatorische Massnahmen ergänzt werden. Insbesondere bei kosten- und/oder personalintensiven Massnahmen muss jedes Unternehmen zwischen den Kosten dieser Massnahmen und den bei einer Nichtumsetzung der Massnahmen entstehenden Risiken abwägen. Nicht umgesetzte Massnahmen hinterlassen so genannte Restrisiken. Deshalb muss die Geschäftsleitung entscheiden, diese Restrisiken zu tragen oder Ressourcen bereitzustellen, um diese zu weiter minimieren. Obwohl die technischen Risiken der IT-Systeme einen wichtigen Teil die Informationssicherheit darstellen, sollte ein Unternehmen seinen Fokus nicht auf diesen Teil der Risiken beschränken oder gar die IT-Abteilung als alleinigen Risikoträger benennen. Die Verantwortung für das Risikomanagement, die Klassifikation und Einstufung der Informationen, sowie ein allenfalls abgestufter Aufwand an zur Verfügung gestellten Sicherungsmassnahmen sind Kernaufgaben der Geschäftsleitung.