SPIE ICS
Blog

Information Security Governance erfolgreich im Unternehmen umsetzen

Veröffentlicht am 26. September 2025

Warum Cybersecurity Governance für Ihr Unternehmen unverzichtbar ist

Information Security Governance ist heute für jede Organisation, unabhängig von ihrer Grösse, ein wichtiger Grundpfeiler. In einer Zeit, in der Datenschutzverletzungen, Ransomware und gross angelegte Angriffe zunehmen, können IT-Sicherheitsmassnahmen nicht mehr vom strategischen Management getrennt werden. Die Implementierung eines Governance-Rahmens hilft bei der Festlegung von Verantwortlichkeiten, gewährleistet den Schutz sensibler Daten und garantiert die Einhaltung von Normen wie ISO 27001, DPA, DSGVO oder der NIS2-Richtlinie.

Die meisten Unternehmen sind sich heute darüber im Klaren, dass ein Sicherheitsvorfall schwerwiegende Folgen haben kann: Vertrauensverlust, Geschäftsunterbrechung, Probleme bei der Einhaltung von Vorschriften und Verletzung der Vertraulichkeit.
Um diese Risiken zu begrenzen, bedarf es eines strukturierten, nachhaltigen und funktionsübergreifenden Konzepts zur Steuerung der Informationssicherheit, auch als Information Security Governance bezeichnet.

Wichtige Schritte zur Einführung einer effektiven Governance

Die Umsetzung einer solchen IT-Sicherheitsstrategie erfolgt nicht über Nacht. Dazu sind mehrere methodische Schritte notwendig:

Zunächst müssen die Risiken bewertet werden. Dazu müssen Vermögenswerte ermittelt, Schwachstellen identifiziert, potenzielle Auswirkungen quantifiziert und Prioritäten angepasst werden. Zudem ist die Berücksichtigung aktueller Bedrohungen unerlässlich, um die Sicherheitspolitik entsprechend anzupassen.

Anschliessend ist eine klare Vision zu definieren. Die Geschäftsleitung muss mittel- und langfristige Sicherheitsziele im Einklang mit den geschäftlichen Prioritäten festlegen.
Dazu gehört auch die Verwaltung von Referenzdokumenten (Sicherheitsrichtlinien, IT-Charta, Notfallreaktionsplan usw.).

Darüber hinaus gilt es, die verschiedenen Governance-Mechanismen zu strukturieren: Sicherheitsausschuss, Dashboards, regelmässige Audits, interne Kommunikation.
Ziel ist es, der Governance eine konkrete und operative Form zu geben.

Und schliesslich ist ein mehrjähriger Aktionsplan zu implementieren, um die Verteilung von Investitionen, die Einbindung von Interessengruppen und die Förderung einer Sicherheitskultur im gesamten Unternehmen zu ermöglichen.

Definieren Sie Rollen und Verantwortlichkeiten für Cybersecurity Governance

Eine klare Rollenverteilung ist eine wesentliche Voraussetzung für eine wirksame Umsetzung von Datenschutz und Informationssicherheit im Unternehmen. Jede Person im Unternehmen muss ihre Verantwortlichkeiten in Bezug auf Datenschutz, Kommunikation oder Notfallmanagement genau kennen.

Die Geschäftsleitung gibt die Ziele vor und bestätigt die individuellen Verpflichtungen. Der Chief Information Security Officer (CISO) koordiniert Sicherheitsmassnahmen, bewertet Risiken und sorgt für die Berichterstattung. Die IT-Teams sind für die Umsetzung technischer Schutzmassnahmen zuständig, aber auch die Geschäftsbereiche, die Personalabteilung, die Rechtsabteilung und die Endnutzer spielen hier eine aktive Rolle.

Es kommt auf die Zusammenarbeit zwischen diesen verschiedenen Funktionen an, um bewährte Vorgehensweisen in der Realität des Unternehmens zu verankern. Kontinuierliche Weiterbildung ist dabei ein wichtiger Hebel, um die Wachsamkeit auf einem hohen Niveau zu halten.

Integrieren Sie die IT-Sicherheit in die Unternehmensstrategie

Eine wirksame Information Security Governance setzt voraus, dass die Sicherheit in die Gesamtstrategie integriert wird.
Eine nachträgliche Umsetzung technischer Lösungen ist heute nicht mehr ausreichend. Bei jedem Projekt, jeder Architekturentscheidung und jeder neuen Partnerschaft müssen die Sicherheitsanforderungen bereits in der Entwurfsphase berücksichtigt werden.

Anstatt Mängel nachträglich zu reparieren, geht es um Prävention. Risiken lassen sich auf diese Weise bereits im Vorfeld reduzieren, was langfristig kostengünstiger ist. Das Unternehmen handelt proaktiv und wird resilient.

Zudem spielt die interne Kommunikation eine wichtige Rolle: Cybersecurity sollte nicht als Einschränkung gesehen werden, sondern als entscheidender Faktor zum Schutz von Daten, Kontinuität und Glaubwürdigkeit. Eine solche integrierte Sichtweise trägt zur Entwicklung einer echten Sicherheitskultur auf allen Ebenen des Unternehmens bei.

Die Rolle des CISO und der Geschäftsleitung

Der CISO ist der Dreh- und Angelpunkt der Information Security Governance. Er treibt die Sicherheitsstrategie voran, überwacht die Umsetzung und erstattet der Geschäftsleitung Bericht. Dafür sind Fachwissen und Führungskompetenz gefragt. Es handelt sich auch um eine politische Rolle, zu deren Aufgaben es gehört, Probleme zu erläutern, Budgets auszuhandeln und das Team entsprechend den Prioritäten zu mobilisieren.

Die Geschäftsleitung muss ihrerseits eine Sicherheitskultur verkörpern. Sie muss sich engagiert dafür einsetzen, wirksame Richtlinien umzusetzen, die Einhaltung von Vorschriften sicherzustellen und die Massnahmen des CISO zu legitimieren. Ohne diese Unterstützung besteht die Gefahr, dass die Governance in der Theorie verharrt.

Das Informationssicherheitsrisiko ist genauso wichtig wie das finanzielle, menschliche, rechtliche oder betriebliche Risiko.
Der CISO muss in der Lage sein, dem Vorstand regelmässig Bericht zu erstatten und Informationen zu liefern, um ein optimales Management zu gewährleisten.

Messen und Optimieren Sie Ihren Governance-Rahmen

Wie jedes Managementsystem muss auch die Information Security Governance gemessen werden, damit sie optimiert werden kann. Hierzu sind zuverlässige und relevante Indikatoren zu definieren: Einhaltung der Richtlinien, Anzahl der festgestellten Vorfälle, Reaktionszeiten, Ausbildungsstand der Benutzer, Auditergebnisse usw.

Durch die regelmässige Erfassung und Analyse dieser Indikatoren können Verbesserungsbereiche ermittelt, Prioritäten für Massnahmen festgelegt, bestehende Kontrollen verstärkt und die Sicherheitspolitik an sich verändernde Situationen und Geschäftsanforderungen angepasst werden.

Dieses kontinuierliche, faktenbasierte Management gewährleistet die dauerhafte Wirksamkeit der Governance. Es zeigt auch den Wert, der durch kontrollierte Einhaltung der Vorschriften und messbare Risikominderung geschaffen wird.

SPIE-Expertise für Ihre Cybersecurity Governance

SPIE unterstützt Sie bei der Implementierung einer soliden Governance durch ein 360°-Assessment, das auf Branchenstandards, einschliesslich NIST und dem Schweizer Bundesamt für Cybersicherheit, basiert. Das Ergebnis: eine klare Diagnose, detaillierte Berichte und ein massgeschneiderter Verbesserungsplan.

Unsere Experten fungieren als ausgelagerter CISO oder DSB und bieten operative Führung und hochrangige Expertise in den Bereichen Cybersicherheit und Datenschutz.

Wir helfen auch bei der Erlangung der ISO-27001-Zertifizierung, unterstützt durch unsere eigenen Zertifizierungen (ISO 27001, 27017, 27018).

Und schliesslich sorgen unsere ISMS-Berater dafür, dass Sie die wichtigsten Rahmenwerke einhalten (DPA, ISO 27001, NIST, BSI, CIS Controls v8), und kombinieren dabei strategische Beratung mit technischen Lösungen.

de