Die Datenmengen, mit denen wir es heute zu tun haben, sind riesig.
Zudem sind die Daten an unterschiedlichen Orten gespeichert, z.B. auf dem Unternehmensserver, auf Website-Servern oder in der Cloud. Eine weitere Besonderheit ist, dass Daten heute mit wenigen Klicks geteilt werden. Ihre Institution bildet da sicher keine Ausnahme. Deshalb stellen sich folgende Fragen:
Um die Speicherorte zu bestimmen, sollten Sie einmal Ihre ganze IT-Umgebung skizzieren. Dieser Ansatz hat zwei Vorteile:
Dazu können wir folgendes Verfahren empfehlen:
1. Bestimmen Sie alle internen und externen IT-Komponenten und listen Sie diese auf: Computer, Laptops, Tablets, aber auch interne Server und Internetserver, E-Mail-Server, Speichersysteme (Backup), Netzwerke etc. Tun Sie dasselbe mit den IT-Anbietern und Cloud-Services, die Sie nutzen.
Fragen Sie sich beispielsweise:
2. Visualisieren Sie diese Umgebung gemäss Schema (vgl. Abbildungsschema oben). Das kann Ihr IT-Verantwortlicher erledigen. Wenn Sie intern keinen IT-Verantwortlichen haben, ist es am besten, einen Dienstleister zu finden, der Ihnen bei dieser Aufgabe helfen kann (vgl. weiter unten «So wählen Sie Ihren IT-Anbieter aus»).
3. Analysieren Sie die Sicherheit von jedem Speicherort und von jedem Datenaustausch.
IT-Dienstleister gibt es viele. Wählen Sie Ihren Anbieter deshalb mit Bedacht aus. Der Dienstleister muss:
Auditberichte gemäss ISAE 3402 und/ oder ISAE 3000 sowie die Zertifizierung nach ISO 27001 sind wichtige Hinweise darauf, dass der IT-Dienstleister über ein gutes Risiko- und Prozessmanagement sowie ein internes Kontrollsystem (IKS) für seine Kunden verfügt.
Auf dem Markt gibt es heute nicht nur zahlreiche IT-Dienstleister; jedes dieser Unternehmen ist auch noch auf ein anderes Fachgebiet spezialisiert. Beispiele:
Bei allen Partnern ist es wichtig, die zu erbringenden Dienste vertraglich genau zu vereinbaren. Dies geschieht in
einem sogenannten Service-Level-Agreement (SLA).
Wenn Sie keine interne Fachperson haben, die sich mit diesen Dingen auskennt, sollten Sie unabhängigen Rat einholen. Das heisst, Sie brauchen einen Dienstleister, der sicherstellt, dass die IT-Spezialisten, die Sie beauftragen, ihren Verpflichtungen in Sachen Datenschutz wirklich nachkommen.
Diese Fachleute bieten ihre Dienste als «Service-Provider-Manager» an. Dabei handelt es sich um einen eher neuen Beruf, der aus dem Bedürfnis heraus entstanden ist, die immer komplexer werdenden und anfälligeren IT-Umgebungen von heute zu verwalten.
Eine solche Dienstleistung hat ihren Preis. Deshalb ist es für kleinere Einrichtungen sicher interessant, im ITBereich mit anderen Institutionen zusammenzuarbeiten.
Zudem existiert ein immer breiteres Angebot an Schulungen zum Thema Service-Provider-Management. Dadurch ist es möglich, die IT-Verantwortlichen Ihrer Institution weiterzubilden und deren Wissen auf den neuesten Stand zu bringen.
Text: mit Unterstützung von Ernst Liniger, Bprex.
Foto: iStock/Vertigo3d
Ihre Meinung zu diesem Beitrag