IT Security Management: Unterschied zwischen den Versionen

Aus IT Process Wiki
Keine Bearbeitungszusammenfassung
Zeile 8: Zeile 8:
<br style="clear:both;"/>
<br style="clear:both;"/>


== Information Security Management nach ITIL: Überblick ==
<p>&nbsp;</p>


'''Prozessziel:''' Sicherstellen, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. Information Security Management ist normalerweise in ein unternehmensweites Security Management eingebunden, das einen breiteren Wirkungsbereich als der IT-Service-Provider hat.
==<span id="Information Security Management nach ITIL">Überblick</span>==


'''Englische Bezeichnung''': Information Security Management
 
'''Ziel:''' ''Information Security Management'' stellt sicher, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. ITIL Security Management ist normalerweise in ein unternehmensweites Security Management eingebunden, das einen breiteren Wirkungsbereich als der IT-Service-Provider hat.
 
'''Deutsche Bezeichnung''': Information Security Management


'''Teil von''': [[ITIL V3 Service Design|Service Design]]
'''Teil von''': [[ITIL V3 Service Design|Service Design]]


'''Prozess-Verantwortlicher''': [[IT Security Management#ITIL-Rollen|Information Security Manager]]
'''Prozess-Verantwortlicher''': [[IT Security Management#Information Security Manager|Information Security Manager]]
 
<p>&nbsp;</p>
 
== Prozess-Beschreibung ==


ITIL V3 ordnet Information Security Management im Service-Design-Prozess ein. Damit wird eine bessere Integration in den Service-Lifecycle erreicht wird, denn zuvor wurde Security Management noch in einer eigenen Publikation behandelt. Der Prozess wurde darüber hinaus an neue Erkenntnisse und Anforderungen im Bereich der IT-Sicherheit angepasst.


== Information Security Management: Prozess-Beschreibung ==
[[Image:Itil-security-management.jpg|right|thumb|370px|alt=Information Security Management ITIL|[https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_it_security_management_itilv3.pdf ITIL Security Management]]]
ITIL liefert keine detaillierte Beschreibung aller Aspekte von Information Security Management, da für diesen Bereich eigene und detailliertere Standards verfügbar sind - wie z.B. ISO 27001. Stattdessen bietet ITIL einen Überblick über die wichtigsten Aktivitäten und hilft beim Bestimmen der Schnittstellen mit den anderen Service-Management-Prozessen.


[[Image:Itil-security-management.jpg|left|thumb|350px|alt=Information Security Management ITIL|[https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_it_security_management_itilv3.pdf ITIL Security Management]]]
Auf Grund der Einführung von Design-Koordinierung in '''''ITIL 2011''''' haben sich die Datenflüsse leicht geändert. Das Übersichts-Diagramm zu [[Media:Itil-security-management.jpg|Information Security Management (.JPG)]] illustriert die wichtigsten Schnittstellen des ITIL-Prozesses (''siehe Abbildung 1'').


Innerhalb von ITIL V2 wurde Security Management noch in einer eigenen Publikation behandelt. ITIL V3 ordnet Information Security Management im Service-Design-Prozess ein, wodurch eine bessere Integration in den Service-Lifecycle erreicht wird. Der Prozess wurde darüber hinaus an neue Erkenntnisse und Anforderungen im Bereich der IT-Sicherheit angepasst.
<p>&nbsp;</p>


[[IT Security Management|Information Security Management nach ITIL V3]] umfasst die folgenden Teilprozesse:
== Teil-Prozesse ==
<br style="clear:both;"/>


=== Teil-Prozesse ===
[[IT Security Management|ITIL Security Management]] umfasst die folgenden Teilprozesse:


;Design von Sicherheitskontrollen
<p>&nbsp;</p>
 
;<span id="ITIL Security Management Design">Design von Sicherheitskontrollen</span>
:Prozessziel: Angemessene technische und organisatorische Maßnahmen designen, mit denen sichergestellt werden kann, dass alle Assets, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind.
:Prozessziel: Angemessene technische und organisatorische Maßnahmen designen, mit denen sichergestellt werden kann, dass alle Assets, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind.


;Sicherheits-Test
;<span id="Information Security Management Test">Sicherheits-Test</span>
:Prozessziel: Dafür Sorge tragen, dass alle Sicherheits-Mechanismen regelmäßigen Tests unterzogen werden.
:Prozessziel: Dafür Sorge tragen, dass alle Sicherheits-Mechanismen regelmäßigen [[IT Security Management#Testprotokoll|Tests]] unterzogen werden.


;Bearbeitung von Security Incidents
;<span id="ITIL Security Incidents">Bearbeitung von Security Incidents</span>
:Prozessziel: Aufdecken und Abwehren von Angriffen und Verletzungen der Informationssicherheit, sowie Minimierung des Schadens im Falle erfolgter Sicherheits-Verletzungen.
:Prozessziel: Aufdecken und Abwehren von Angriffen und Verletzungen der Informationssicherheit, sowie Minimierung des Schadens im Falle erfolgter Sicherheits-Verletzungen.


;Security Review
;<span id="ITIL Security Management Review">Security Review</span>
:Prozessziel: Überprüfen, ob die Sicherheitsmaßnahmen und –Prozeduren immer noch im Einklang stehen mit den Risikoeinschätzungen aus Unternehmenssicht; Überprüfen, ob die entsprechenden Maßnahmen und Prozeduren regelmäßig auf dem aktuellen Stand gehalten und getestet werden.
:Prozessziel: Überprüfen, ob die Sicherheitsmaßnahmen und –Prozeduren immer noch im Einklang stehen mit den Risikoeinschätzungen aus Unternehmenssicht; Überprüfen, ob die entsprechenden Maßnahmen und Prozeduren regelmäßig auf dem aktuellen Stand gehalten und getestet werden.


=== ITIL-Begriffe zum Information Security Management ===
<p>&nbsp;</p>
 
== Definitionen ==
 
Die folgenden ITIL-Begriffe and Acronyme (''Informations-Objekte'') werden in ITIL Security Management zur Darstellung der Prozess-Outputs und -Inputs verwendet:
 
<p>&nbsp;</p>


;<span id="Sicherheitsbericht">Informations-Sicherheitsbericht</span>
;<span id="Sicherheitsbericht">Informations-Sicherheitsbericht</span>
Zeile 48: Zeile 64:


;<span id="Informations-Sicherheits-Richtlinie">Informations-Sicherheits-Richtlinie</span>
;<span id="Informations-Sicherheits-Richtlinie">Informations-Sicherheits-Richtlinie</span>
:Die übergeordnete Informations-Sicherheits-Richtlinie skizziert den gewählten Ansatz zur Gewährleistung der Sicherheit von IT-Services und -Systemen. Sie wird in der Regel ergänzt durch spezifische [[IT Security Management#Sicherheitsrichtlinie|unterstützende Richtlinien]], z.B. für den Umgang mit E-Mails oder den Fernzugriff auf bestimmte Systeme.  
:Die übergeordnete Informations-Sicherheits-Richtlinie skizziert den gewählten Ansatz zur Gewährleistung der Sicherheit von IT-Services und -Systemen. Sie wird in der Regel ergänzt durch spezifische [[IT Security Management#Sicherheitsrichtlinie|unterstützende Richtlinien]], z.B. für den Umgang mit E-Mails oder den Fernzugriff auf bestimmte Systeme. Die Informations-Sicherheits-Richtlinie enthält eine Aufstellung der sicherheitsrelevanten Risiken sowie der bereits bestehenden oder geplanten ''Security Controls'' (Sicherheitskontrollen), mit denen solchen Risiken begegnet werden kann.
:Die Informations-Sicherheits-Richtlinie enthält eine Aufstellung der sicherheitsrelevanten Risiken sowie der bereits bestehenden oder geplanten Security Controls (Sicherheitskontrollen), mit denen solchen Risiken begegnet werden kann.
 
;<span id="ITIL Security Management Regeln">Regeln für Event-Filterung und -Korrelierung</span>
:Regeln und Kriterien, mit deren Hilfe die Bedeutung von Events eingeschätzt und eine angemessene Reaktion bestimmt werden kann. Regeln für Event-Filterung und -Korrelation werden typischerweise in Event-Monitoring-Systemen hinterlegt. Manche dieser Regeln werden während der Service-Design-Phase definiert, z.B. um sicherzustellen, dass Services die erforderliche Verfügbarkeit erreichen.


;<span id="Security-Advisories">Security Advisories</span>
;<span id="Security-Advisories">Security Advisories</span>
:Eine Liste bekannter Sicherheitslücken, die z.B. aus Inputs von externen Produktlieferanten erstellt wird. Die Liste enthält Anweisungen zum Schließen der Sicherheitslücken und für den Umgang mit bereits eingetretenen Sicherheitsverletzungen.  
:Eine Liste bekannter Sicherheitslücken, die z.B. aus Inputs von externen Produktlieferanten erstellt wird. Die Liste enthält Anweisungen zum Schließen der Sicherheitslücken und für den Umgang mit bereits eingetretenen Sicherheitsverletzungen.  


;<span id="Security-Alert">Security Alert (Sicherheitsalarm)</span>
;<span id="ITIL Security-Alert">Security Alert (Sicherheitsalarm)</span>
:Ein Security Alert wird typischerweise vom Information Security Management herausgegeben, wenn Bedrohungen der Informationssicherheit absehbar oder bereits eingetreten sind. Sicherheitswarnungen werden mit dem Ziel veröffentlicht, Anwender und IT-Mitarbeiter in die Lage zu versetzen, Angriffe auf die Informationssicherheit zu erkennen und sich mit geeigneten Maßnahmen zu schützen.  
:Ein Security Alert wird typischerweise vom Information Security Management herausgegeben, wenn Bedrohungen der Informationssicherheit absehbar oder bereits eingetreten sind. Sicherheitswarnungen werden mit dem Ziel veröffentlicht, Anwender und IT-Mitarbeiter in die Lage zu versetzen, Angriffe auf die Informationssicherheit zu erkennen und sich mit geeigneten Maßnahmen zu schützen.  


Zeile 61: Zeile 79:


;<span id="Testplan-Verfügbarkeit-Kontinuität-Sicherheit">Testplan für Verfügbarkeit/ Kontinuität/ Sicherheit</span>
;<span id="Testplan-Verfügbarkeit-Kontinuität-Sicherheit">Testplan für Verfügbarkeit/ Kontinuität/ Sicherheit</span>
:Ein Zeitplan für die regelmäßig durchzuführenden Tests der Verfügbarkeits-, Kontinuitäts- und Sicherheitsmechanismen, der gemeinsam vom Availability Management, IT Service Continuity Management und Information Security Management gepflegt wird.
:Ein Zeitplan für die regelmäßig durchzuführenden [[IT Security Management#Information Security Management Test|Tests]] der Verfügbarkeits-, Kontinuitäts- und Sicherheitsmechanismen, der gemeinsam vom [[Availability Management]], [[IT Service Continuity Management]] und [[IT Security Management|Information Security Management]] gepflegt wird.


;<span id="Testprotokoll">Testprotokoll</span>
;<span id="Testprotokoll">Testprotokoll</span>
:Ein Protokoll über Vorbereitung, Ablauf und Evaluierung eines Tests, erstellt zum Beispiel im Rahmen der verschiedenen Tests, die vom Availability, IT Service Continuity oder Information Security Management durchgeführt werden.  
:Ein Protokoll über Vorbereitung, Ablauf und Evaluierung eines [[IT Security Management#Information Security Management Test|Tests]], erstellt zum Beispiel im Rahmen der verschiedenen Tests, die vom [[Availability Management|Availability]], [[IT Service Continuity Management|IT Service Continuity]] oder [[IT Security Management|Information Security Management]] durchgeführt werden.  


;<span id="Sicherheitsrichtlinie">Unterstützende Informations-Sicherheitsrichtlinie</span>
;<span id="Sicherheitsrichtlinie">Unterstützende Informations-Sicherheitsrichtlinie</span>
:Unterstützende Informations-Sicherheitsrichtlinien sind spezielle Richtlinien, die die übergeordnete Informationssicherheits-Richtlinie ergänzen. Sie stellen bindende Regeln für die Nutzung von Systemen und Daten sowie für die Nutzung und Erbringung von Services und Systemen zur Gewährleistung einer ausreichenden Informationssicherheit auf.
:Unterstützende Informations-Sicherheitsrichtlinien sind spezielle Richtlinien, die die [[IT Security Management#Informations-Sicherheits-Richtlinie|übergeordnete Informationssicherheits-Richtlinie]] ergänzen. Sie stellen bindende Regeln für die Nutzung von Systemen und Daten sowie für die Nutzung und Erbringung von Services und Systemen zur Gewährleistung einer ausreichenden Informationssicherheit auf.


<p>&nbsp;</p>


== KPIs ==


== Zusatzinformationen zum Information Security Management ==
==== ITIL-Kennzahlen (KPIs) ====
* [[ITIL-Kennzahlen Service Design#ITIL-Kennzahlen Information Security Management|Kennzahlen zum Information Security Management]]
* [[ITIL-Kennzahlen Service Design#ITIL-Kennzahlen Information Security Management|Kennzahlen zum Information Security Management]]


<p>&nbsp;</p>


==== ITIL-Rollen ====
== Rollen | Verantwortlichkeiten ==


;Information Security Manager - Prozess-Verantwortlicher
;<span id="Information Security Manager">Information Security Manager - Prozess-Verantwortlicher</span>
:Der Information Security Manager ist verantwortlich dafür, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. Er ist normalerweise eingebunden in ein unternehmensweites Security Management, das einen breiteren Wirkungsbereich als der Service-Provider hat; dieses umfasst u.a. auch einen den Sicherheitsaspekten genügenden Umgang mit Schriftstücken und Telefonaten innerhalb des Gesamtunternehmens sowie die Zugangskontrolle zu Betriebseinrichtungen.
:Der Information Security Manager ist verantwortlich dafür, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. Er ist normalerweise eingebunden in ein unternehmensweites Security Management, das einen breiteren Wirkungsbereich als der Service-Provider hat; dieses umfasst u.a. auch einen den Sicherheitsaspekten genügenden Umgang mit Schriftstücken und Telefonaten innerhalb des Gesamtunternehmens sowie die Zugangskontrolle zu Betriebseinrichtungen.


<p>&nbsp;</p>


== Downloads ==
{| border="1" cellpadding="5" cellspacing="0" style="text-align:center;" valign="top"
|-
| valign="top"  colspan="7" style="background:#ffffdd;" align="center"| '''Verantwortlichkeits-Matrix: ITIL Security Management'''
|-
!  width="50%" align="center" style="background:#ffffee;" | ITIL-Rolle | Teil-Prozess
! style="background:#ffffee;" | [[IT Security Management#Information Security Manager|Information Security Manager]]
! style="background:#ffffee;" | Service Owner[[#ITIL Security Rollen|<small>[3]</small>]]
! style="background:#ffffee;" | Anwendungs-system-Analytiker[[#ITIL Security Rollen|<small>[3]</small>]]
! style="background:#ffffee;" | Technischer Analytiker[[#ITIL Security Rollen|<small>[3]</small>]]
! style="background:#ffffee;" | IT-Operator[[#ITIL Security Rollen|<small>[3]</small>]]
! style="background:#ffffee;" | Facilities Manager[[#ITIL Security Rollen|<small>[3]</small>]]
|-
| align="left" |[[#ITIL Security Management Design|Design von Sicherheitskontrollen]]
| A[[IT Security Management#Accountable|<small>[1]</small>]]R[[IT Security Management#Responsible|<small>[2]</small>]]
| R[[#ITIL Security Rollen|<small>[3]</small>]]
| R[[#ITIL Security Rollen|<small>[3]</small>]]
| R[[#ITIL Security Rollen|<small>[3]</small>]]
|
|
|-
| align="left" |[[#Information Security Management Test|Sicherheits-Test]]
| AR
|
|
|
| R[[#ITIL Security Rollen|<small>[3]</small>]]
| R[[#ITIL Security Rollen|<small>[3]</small>]]
|-
| align="left" |[[#ITIL Security Incidents|Bearbeitung von Security Incidents]]
| AR
|
|
|
|
|
|-
| align="left" |[[#ITIL Security Management Review|Security Review]]
| AR
|
|
|
|
|
|-
|}


==== Übersicht ITIL Security Management ====
<p>&nbsp;</p>


{|
'''Erläuterungen'''
| valign="top" |
Die folgenden Links verweisen auf das Übersichts-Diagramm zu ITIL Security Management mit einer Darstellung der wichtigsten Schnittstellen des ITIL-Prozesses. 


* [[Media:Itil-security-management.jpg|Information Security Management (.JPG)]]
<span id="Accountable">[1] ''A: Accountable'' i.S.d. RACI-Modells: Verantwortlich dafür, dass Information Security Management als Gesamt-Prozess korrekt und vollständig ausgeführt wird.</span>
* [https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_it_security_management_itilv3.pdf Information Security Management (.PDF)]''
 
| valign="top" |
<span id="Responsible">[2] ''R: Responsible'' i.S.d. RACI-Modells: Verantwortlich für die Ausführung bestimmter Aufgaben in ITIL Security Management.</span>
[[Image:Prozess_it_security_management_itilv3_thumb.jpg|thumb|150px|left|none|alt=ITIL Security Management|Information Security Management im Überblick]]
|-
|}


<span id="ITIL Security Rollen">[3] siehe [[Rollen in ITIL V3|&#8594; Rollen-Beschreibungen]]</span>


<p>&nbsp;</p>


<!-- Diese Seite liegt in folgenden Kategorien: -->
<!-- Diese Seite liegt in folgenden Kategorien: -->
[[Kategorie:ITIL V3]][[Kategorie:ITIL-Prozess]][[Kategorie:Service Design]][[Kategorie:Information Security Management|!]]
[[Kategorie:ITIL V3]][[Kategorie:ITIL 2011]][[Kategorie:ITIL-Prozess]][[Kategorie:Service Design]][[Kategorie:Information Security Management|!]]
<!-- keine Inhalte nach diesem Kommentar! -->
<!-- keine Inhalte nach diesem Kommentar! -->

Version vom 30. November 2011, 18:05 Uhr

<seo metakeywords="itil security management, information security management, prozess security management" metadescription="ITIL Security Management: Prozess-Definition, Teil-Prozesse. Zusatzinformationen zu Information Security Management: Rollen, Checklisten, KPIs..." />

ES - EN - Information Security Managementesta página en españolthis Page in English
ES - EN - Information Security Management


 

Überblick

Ziel: Information Security Management stellt sicher, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. ITIL Security Management ist normalerweise in ein unternehmensweites Security Management eingebunden, das einen breiteren Wirkungsbereich als der IT-Service-Provider hat.

Deutsche Bezeichnung: Information Security Management

Teil von: Service Design

Prozess-Verantwortlicher: Information Security Manager

 

Prozess-Beschreibung

ITIL V3 ordnet Information Security Management im Service-Design-Prozess ein. Damit wird eine bessere Integration in den Service-Lifecycle erreicht wird, denn zuvor wurde Security Management noch in einer eigenen Publikation behandelt. Der Prozess wurde darüber hinaus an neue Erkenntnisse und Anforderungen im Bereich der IT-Sicherheit angepasst.

Information Security Management ITIL
ITIL Security Management

ITIL liefert keine detaillierte Beschreibung aller Aspekte von Information Security Management, da für diesen Bereich eigene und detailliertere Standards verfügbar sind - wie z.B. ISO 27001. Stattdessen bietet ITIL einen Überblick über die wichtigsten Aktivitäten und hilft beim Bestimmen der Schnittstellen mit den anderen Service-Management-Prozessen.

Auf Grund der Einführung von Design-Koordinierung in ITIL 2011 haben sich die Datenflüsse leicht geändert. Das Übersichts-Diagramm zu Information Security Management (.JPG) illustriert die wichtigsten Schnittstellen des ITIL-Prozesses (siehe Abbildung 1).

 

Teil-Prozesse

ITIL Security Management umfasst die folgenden Teilprozesse:

 

Design von Sicherheitskontrollen
Prozessziel: Angemessene technische und organisatorische Maßnahmen designen, mit denen sichergestellt werden kann, dass alle Assets, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind.
Sicherheits-Test
Prozessziel: Dafür Sorge tragen, dass alle Sicherheits-Mechanismen regelmäßigen Tests unterzogen werden.
Bearbeitung von Security Incidents
Prozessziel: Aufdecken und Abwehren von Angriffen und Verletzungen der Informationssicherheit, sowie Minimierung des Schadens im Falle erfolgter Sicherheits-Verletzungen.
Security Review
Prozessziel: Überprüfen, ob die Sicherheitsmaßnahmen und –Prozeduren immer noch im Einklang stehen mit den Risikoeinschätzungen aus Unternehmenssicht; Überprüfen, ob die entsprechenden Maßnahmen und Prozeduren regelmäßig auf dem aktuellen Stand gehalten und getestet werden.

 

Definitionen

Die folgenden ITIL-Begriffe and Acronyme (Informations-Objekte) werden in ITIL Security Management zur Darstellung der Prozess-Outputs und -Inputs verwendet:

 

Informations-Sicherheitsbericht
Der Informations-Sicherheitsbericht wird in regelmäßigen Abständen erstellt. Er liefert anderen Service-Management-Prozessen sowie dem IT-Management Information über den Stand der Informationssicherheit.
Informations-Sicherheits-Richtlinie
Die übergeordnete Informations-Sicherheits-Richtlinie skizziert den gewählten Ansatz zur Gewährleistung der Sicherheit von IT-Services und -Systemen. Sie wird in der Regel ergänzt durch spezifische unterstützende Richtlinien, z.B. für den Umgang mit E-Mails oder den Fernzugriff auf bestimmte Systeme. Die Informations-Sicherheits-Richtlinie enthält eine Aufstellung der sicherheitsrelevanten Risiken sowie der bereits bestehenden oder geplanten Security Controls (Sicherheitskontrollen), mit denen solchen Risiken begegnet werden kann.
Regeln für Event-Filterung und -Korrelierung
Regeln und Kriterien, mit deren Hilfe die Bedeutung von Events eingeschätzt und eine angemessene Reaktion bestimmt werden kann. Regeln für Event-Filterung und -Korrelation werden typischerweise in Event-Monitoring-Systemen hinterlegt. Manche dieser Regeln werden während der Service-Design-Phase definiert, z.B. um sicherzustellen, dass Services die erforderliche Verfügbarkeit erreichen.
Security Advisories
Eine Liste bekannter Sicherheitslücken, die z.B. aus Inputs von externen Produktlieferanten erstellt wird. Die Liste enthält Anweisungen zum Schließen der Sicherheitslücken und für den Umgang mit bereits eingetretenen Sicherheitsverletzungen.
Security Alert (Sicherheitsalarm)
Ein Security Alert wird typischerweise vom Information Security Management herausgegeben, wenn Bedrohungen der Informationssicherheit absehbar oder bereits eingetreten sind. Sicherheitswarnungen werden mit dem Ziel veröffentlicht, Anwender und IT-Mitarbeiter in die Lage zu versetzen, Angriffe auf die Informationssicherheit zu erkennen und sich mit geeigneten Maßnahmen zu schützen.
Security Management Information System (SMIS)
Das Security Management Information System (SMIS) ist der zentrale Speicherort für alle relevanten Daten des Information-Security-Management-Prozesses.
Testplan für Verfügbarkeit/ Kontinuität/ Sicherheit
Ein Zeitplan für die regelmäßig durchzuführenden Tests der Verfügbarkeits-, Kontinuitäts- und Sicherheitsmechanismen, der gemeinsam vom Availability Management, IT Service Continuity Management und Information Security Management gepflegt wird.
Testprotokoll
Ein Protokoll über Vorbereitung, Ablauf und Evaluierung eines Tests, erstellt zum Beispiel im Rahmen der verschiedenen Tests, die vom Availability, IT Service Continuity oder Information Security Management durchgeführt werden.
Unterstützende Informations-Sicherheitsrichtlinie
Unterstützende Informations-Sicherheitsrichtlinien sind spezielle Richtlinien, die die übergeordnete Informationssicherheits-Richtlinie ergänzen. Sie stellen bindende Regeln für die Nutzung von Systemen und Daten sowie für die Nutzung und Erbringung von Services und Systemen zur Gewährleistung einer ausreichenden Informationssicherheit auf.

 

KPIs

 

Rollen | Verantwortlichkeiten

Information Security Manager - Prozess-Verantwortlicher
Der Information Security Manager ist verantwortlich dafür, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. Er ist normalerweise eingebunden in ein unternehmensweites Security Management, das einen breiteren Wirkungsbereich als der Service-Provider hat; dieses umfasst u.a. auch einen den Sicherheitsaspekten genügenden Umgang mit Schriftstücken und Telefonaten innerhalb des Gesamtunternehmens sowie die Zugangskontrolle zu Betriebseinrichtungen.

 

Verantwortlichkeits-Matrix: ITIL Security Management
ITIL-Rolle | Teil-Prozess Information Security Manager Service Owner[3] Anwendungs-system-Analytiker[3] Technischer Analytiker[3] IT-Operator[3] Facilities Manager[3]
Design von Sicherheitskontrollen A[1]R[2] R[3] R[3] R[3]
Sicherheits-Test AR R[3] R[3]
Bearbeitung von Security Incidents AR
Security Review AR

 

Erläuterungen

[1] A: Accountable i.S.d. RACI-Modells: Verantwortlich dafür, dass Information Security Management als Gesamt-Prozess korrekt und vollständig ausgeführt wird.

[2] R: Responsible i.S.d. RACI-Modells: Verantwortlich für die Ausführung bestimmter Aufgaben in ITIL Security Management.

[3] siehe → Rollen-Beschreibungen