Ver-ITIL-t


16. März 2009

Prozess: Information Security Management

Aufgaben des Information Security Management

Der Prozess Information Security Management stellt die Daten- und Informationssicherheit im Unternehmen sicher. Die Kernfragen lauten demnach:

  1. Welche Daten / Informationen gibt es im Unternehmen?
  2. Wer darf auf welche Daten / Informationen zugreifen?
  3. Wie kann effektiv verhindert werden, dass unberechtigte Zugriff auf die Daten / Informationen erhalten?

Der Prozess läuft im Einklang mit der Strategie des Unternehmens – das Schlagwort in diesem Zusammenhang heißt Business Security.

Neben den geschäftlichen Anforderungen sind über die letzten Jahre auch gesetzliche Anforderungen in den Fokus gerückt. Die Verabschiedung von SOX und Basel II beispielsweise bringen einige zusätzliche ToDo’s mit.


Grundsätze des Information Security Management

Die effektive Durchführung von Information Security Maßnahmen kann anhand des Security Frameworks geplant werden.

  1. Steuerung
    Organisation und Kontrolle des Information Security Prozesses
  2. Planung
    Maßnahmenformulierung
  3. Implementierung
    Umsetzung der Maßnahmen (Tools, Prozesse, …)
  4. Evaluierung
    Prüfung, ob die Maßnahmen wirksam sind
  5. Pflege und Wartung
    Ansatz der ständigen Prozessverbesserung (CSI, Deming-Zyklus)

Das Security Management sollte unter der Maßgabe “vorbeugen ist besser als heilen” vorgehen. Ein wichtiges Instrument für die Evaluierung sind Reportingmaßnahmen und Scans. Die Formulierung von KPIs, die den Anteil der Vorgänge ausgeben, die unter Missachtung der Maßnahmen durchgeführt werden, sind wünschenswert. Da sich diese Menge an Vorgängen im unbekannten Bereich befindet, stellt die Planung und Umsetzung eine besondere Herausforderung dar.

Begrifflichkeiten im Information Security Management

Als Vertraulichkeit wird der Grad an Sicherheit bezeichnet, der hinsichtlich des Zugriffs auf die Daten / Informationen notwendig ist.

Die Integrität kennzeichnet die Vollständigkeit und Richtigkeit der Daten.

Die Verfügbarkeit ist ein Maß für den Zeitraum, in dem die Daten zur Verfügung stehen. Dieser Begriff spielt in das Availability Management hinein.

Weitere interessante Inhalte

Category: Security Management – Stefan – 23:59

Keine Kommentare »

Noch keine Kommentare

RSS-Feed für Kommentare zu diesem Beitrag. | TrackBack URI

Hinterlasse einen Kommentar

XHTML ( You can use these tags): <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> .

!-- Piwik -->