Sicherheitsmanagement – Was genau dieser Begriff alles umfasst

Share on facebook
Share on twitter
Share on linkedin

Was ist ein Sicherheitsmanagement?

Wer sich mit dem Thema Sicherheitsmanagement auseinandersetzt stellt schnell fest, dass es offensichtlich unterschiedliche Sicherheiten in einem Unternehmen gibt: das IT-Sicherheitsmanagement, das Informationssicherheitsmanagement, die physische Sicherheit, die Arbeitssicherheit, die Standortsicherheit, die Rechtssicherheit und funktional betrachtet kommen weitere hinzu wie das Risikomanagement, das Notfall- und Krisenmanagement, das Business Continuity Management (BCM), das Datenschutzmanagement und im weitesten Sinn auch das Qualitätsmanagement, es sichert schließlich die Qualität der Produkte oder der Dienstleistung.

Aber sind das wirklich verschiedene Sicherheiten? Was ist Sicherheit überhaupt und wozu brauche ich ein Sicherheitsmanagement?

Sicherheit ist definiert als ein Zustand, der frei von unvertretbaren Risiken ist oder als gefahrenfrei angesehen wird. Der Begriff geht zurück auf das lateinische Wort securitas bzw. securus, das soviel bedeutet wie: sorglos . Es setzt sich zusammen aus sed “ohne“ und cura (Für-)Sorge.

Management stammt ebenfalls aus dem Lateinischen und ist eine Komposition aus dem Wort manus „Hand“ und agere „führen“: „an der Hand führen“ also. Es umfasst jede zielgerichtete und nach ökonomischen Prinzipien ausgerichtete menschliche Handlungsweise der Leitung.

Qua Definition gibt es also keine verschiedenen Sicherheiten im Unternehmen, sondern nur eine Sicherheit. Diese ist ein Zustand, der entweder frei von unvertretbaren Risiken ist oder als gefahrenfrei betrachtet wird; ein Zustand, den es durch zielgerichtete und an ökonomischen Prinzipien ausgerichtete Handlungen herzustellen bzw. kontinuierlich aufrechtzuerhalten gilt.

Sicherheit aus einer Hand

Betrachten wir die Auflistung der unterschiedlichen Sicherheiten bzw. der verschiedenen Sicherheitsmanagementsysteme, die eingangs aufgezählt wurden, so kann konstatiert werden, das Unternehmen mit unterschiedlichen Managementsystem daran arbeiten, einen Zustand von Sicherheit herzustellen respektive aufrechtzuerhalten.

All zu oft kommt es dabei vor, dass sich abgeschottete Silos in Unternehmen herausbilden oder herausgebildet haben, in den grundsätzlich gleiche und/oder ähnliche Tätigkeiten mit derselben Zielsetzung durchgeführt werden. Aufgrund unterschiedliche Bewertungsmaßstäbe, die in den unterschiedlichen Managementsystemen angewendet werden, erhält die Unternehmensleitung oft divergierende Ergebnisse. Am Ende des Tages ist man also trotz viel Aufwand nicht schlauer als zuvor. Haben wir nun den erstrebten Zustand, nämlich Sicherheit, erreicht?

Beim Militär gibt es eine Führungs-Devise: Greife niemals mit gespreizten Fingern an, sondern mit der geballten Faust.

Auch wenn diese Devise im ersten Moment martialisch klingt, bedient sie sich eines prägnanten und passenden Bildes für die Situation im unternehmerischen Sicherheitsmanagement.

Die offene Hand mit ihren gespreizten Fingern steht für die einzelnen Sicherheitsmanagement-Disziplinen. Sie weisen an ihren Kuppen die maximale Entfernung zueinander auf, obwohl sie alle zur selben Hand gehören. In diesem Zustand spätestens verfehlt die Hand ihre Schutzfunktion. Ein schützender Schlag, ohne sich die Finger zu brechen, ist so, so gut wie unmöglich.

Zwar stehen bei der Faust auch die Finger für die einzelnen Sicherheitsmanagementsysteme, an deren Kuppen sich der jeweiligen Owner befindet. Im Gegensatz zur gespreizten Hand, verschmelzen die Finger funktional, unter Beibehaltung ihrer Prädestination, zur schützenden Faust, die nun aber jederzeit einen schützenden Schlag ausführen kann, ohne sich die Finger zu brechen. Sicherheit aus einer Hand also.

Integratives Sicherheitsmanagement

Der Gedanke, Sicherheit aus einer Hand, findet sich normativ bereits in wichtigen Standards des Sicherheitsmanagements, den sogenannten ISO Normen, die nach der High Level Struktur nach Annex SL aufgebaut sind.

Gemein ist ihnen, dass sie sich – legt man den P-D-C-A Zyklus zugrunde – konzeptionell nur in der DO-Phase (Betrieb) voneinander unterscheiden. Alle weiteren Phasen sind strukturell gleich aufgebaut.

Ein IT Sicherheitsmanagementsystem muss immer auf den Kontext des Unternehmens passgenau zugeschnitten werden, dazu wird das Kommitment des Vorstandes bzw. der Unternehmensleitung, eine zielorientierte Planung sowie ein angemessener Support benötigt (Plan).

Gerade heutzutage muss die Performance des Sicherheitsmanagementsystems kontinuierlich überwacht, gemessen und bewertet werden. Wenn man so will, einen Abgleich des SOLL-IST Zustandes (Check).

Schließlich muss das gemessene gap, also die Nichtkonformität, durch Korrekturmaßnahmen kontinuierlich verbessert werden (Act).

Ein Integratives Sicherheitsmanagementsystems greift diesen Gedanken der High Level Struktur auf. Statt mit gespreizten Fingern den Risiken zu begegnen, werden die Synergien in den Phasen Plan, Check und Act genutzt. Ein Verantwortlicher für das Thema Sicherheit wird inauguriert (Bsp. der Sicherheitsmanager oder der Risikomanager), dessen Aufgabe darin besteht,

  • den Zustand Sicherheit für das Unternehmen in Zusammenarbeit mit der Unternehmensleitung anhand der strategischen Ausrichtung zu definieren,
  • dessen Umsetzung zu planen und auszugestalten, die Sicherheitsdisziplinen mit angemessenen Ressourcen im ökonomischen Sinn zu unterstützen, um den Betrieb der Sicherheitsdisziplinen zu gewährleisten,
  • über die Umsetzung zu wachen, sie zu messen und zu bewerten
  • und last – but not least – den kontinuierliche Verbesserungsprozess zu initiieren und aufrechtzuerhalten.

Und was sind die Vorteil des Sicherheitsmanagements aus einer Hand?

Die Vorteile des Integrativen Sicherheitsmanagements aus einer Hand sind,

  1. dass alle Aktivitäten mit der Zielrichtung Sicherheit herzustellen und aufrechtzuerhalten unter einer Verantwortlichkeit gebündelt werden und das Management Review vereinheitlicht wird,
  2. dass alle Aktivitäten der Sicherheitsdisziplinen auf ein Ziel orientiert werden und einheitliche Bewertungsmaßstäbe für die Messung und Bewertung der Performance etabliert werden,
  3. dass Synergien genutzt und Redundanzen vermieden werden und dadurch Kosteneinsparungen realisiert werden können.

Haben wir Ihr Interesse geweckt? Dann vereinbaren Sie einen unverbindlichen Beratungstermin.

Das könnte Sie auch interessieren

Sicherheitshinweis - 2 Männer stehen sich gegenüber

Bei Phishing-Anrufen handelt es sich um telefonisches Erfragen sensibler Daten für betrügerische Zwecke.

IT-Sicherheit
WP Sicherheit

Wenige Maßnahmen reichen schon für einen gewissen Grundschutz der eigenen Seite.

IT-Sicherheit
Sicherheit in Lieferkette gewährleisten

Die Integration aller Anforderungen ermöglicht Risikobetrachtung und Vermeidung redundanter Prozesse.

IT-Sicherheit
Jetzt für den OSYSCON Newsletter anmelden
Bleiben Sie auf dem neusten Stand der digitalen Sicherheit
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Mit dem Eintragen akzeptieren Sie unsere Datenschutzrichtlinien, diese finden Sie hier.
Onboarding

Im Onboarding werden wir Sie und Ihr Netzwerk zunächst genauer kennenlernen und bestimmen einen gemeinsamen Fahrplan. Wir fordern Dokumente an, die wir für die Begutachtung benötigen und klären Ihre Bedenken. Sonderwünsche Ihrerseits werden ebenfalls besprochen. Sie möchten bestimmte Geräte von der Prüfung ausschließen? Kein Problem. Sie möchten, dass wir auf etwas besonders viel Augenmerk legen? Auch kein Problem. All dies und vieles mehr muss vor dem Beginn einer jeden Prüfung geklärt werden.

Holen Sie sich ihr individuelles Angebot

Mit dem Absenden akzeptieren Sie unsere Datenschutzrichtlinien, diese finden Sie hier.