IT Security Management: Unterschied zwischen den Versionen

Aus IT Process Wiki
(Die Seite wurde neu angelegt: {| ! align="right" width="80%"| ! style="background:#DDDDDD;" align="right" width="20%"| [http://wiki.en.it-processmaps.com/index.php/IT_Security_Management this Page i...)
 
KKeine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
{|
<seo metakeywords="itil security management, prozess security management, information security management" metadescription="ITIL Security Management: Prozess-Definition, Teil-Prozesse. Zusatzinformationen zu IT Security Management: Rollen, Checklisten, KPIs..." />
! align="right" width="80%"|
<imagemap>
! style="background:#DDDDDD;" align="right" width="20%"| [https://wiki.en.it-processmaps.com/index.php/IT_Security_Management this Page in English]
Image:ITIL-Wiki-english-es.jpg|ES - EN - IT Security Management|100px
|}
rect 0 0 50 30 [https://wiki.es.it-processmaps.com/index.php/ITIL_Gestion_de_la_Seguridad_de_TI esta página en español]
rect 50 0 100 30 [https://wiki.en.it-processmaps.com/index.php/IT_Security_Management this Page in English]
desc none
</imagemap>
<br style="clear:both;"/>


'''ITIL Version''': ITIL Version 3 (ITIL V3)
== IT Security Management nach ITIL: Überblick ==


'''Prozessziel:''' Sicherstellen, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. IT Security Management ist normalerweise in ein unternehmensweites Security Management eingebunden, das einen breiteren Wirkungsbereich als der IT-Service-Provider hat.
'''Prozessziel:''' Sicherstellen, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. IT Security Management ist normalerweise in ein unternehmensweites Security Management eingebunden, das einen breiteren Wirkungsbereich als der IT-Service-Provider hat.
'''Englische Bezeichnung''': IT Security Management


'''Teil von''': [[ITIL V3 Service Design|Service Design]]
'''Teil von''': [[ITIL V3 Service Design|Service Design]]


'''Prozess-Verantwortlicher''': [[Rollen in ITIL V3#IT Security Manager|IT Security Manager]]
'''Prozess-Verantwortlicher''': [[IT Security Management#ITIL-Rollen im IT Security Management|IT Security Manager]]




==ITIL V3 im Vergleich zu ITIL V2: IT Security Management ==
== IT Security Management: Prozess-Beschreibung ==


* ITIL V2 behandelte IT Security Management in einer eigenen Publikation
[[Image:Prozess_it_security_management_itilv3_thumb.jpg|frame|left|[https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_it_security_management_itilv3.pdf IT Security Management]]]
* ITIL V3 ordnet IT Security Management im Service-Design-Prozess ein, wodurch eine bessere Integration in den Service-Lifecycle erreicht wird
* Der Prozess wurde darüber hinaus an neue Erkenntnisse und Anforderungen im Bereich der IT-Sicherheit angepasst


Innerhalb von ITIL V2 wurde IT Security Management noch in einer eigenen Publikation behandelt. ITIL V3 ordnet IT Security Management im Service-Design-Prozess ein, wodurch eine bessere Integration in den Service-Lifecycle erreicht wird. Der Prozess wurde darüber hinaus an neue Erkenntnisse und Anforderungen im Bereich der IT-Sicherheit angepasst.


==Teil-Prozesse von IT Security Management nach ITIL V3==
[[IT Security Management|IT Security Management nach ITIL V3]] umfasst die folgenden Teilprozesse:
<br style="clear:both;"/>


[[Image:Prozess_it_security_management_itilv3_thumb.jpg|frame|left|[https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_it_security_management_itilv3.pdf  Überblick über den IT-Security-Management-Prozess nach ITIL V3 (.pdf)]]]
=== Teil-Prozesse ===


;Design von Sicherheitskontrollen
;Design von Sicherheitskontrollen
:Prozessziel: Angemessene technische und organisatorische Maßnahmen designen,  
:Prozessziel: Angemessene technische und organisatorische Maßnahmen designen, mit denen sichergestellt werden kann, dass alle Assets, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind.
mit denen sichergestellt werden kann, dass alle Assets, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind.


;Sicherheits-Test
;Sicherheits-Test
:Prozessziel: Dafür Sorge tragen, dass alle Sicherheits-Mechanismen einem regelmäßigen Test unterzogen werden.
:Prozessziel: Dafür Sorge tragen, dass alle Sicherheits-Mechanismen regelmäßigen Tests unterzogen werden.


;Bearbeitung von Security Incidents
;Bearbeitung von Security Incidents
:Prozessziel: Aufdecken und Abwehren von Angriffen und Verletzungen der Sicherheits-Bestimmungen sowie Minimierung des Schadens im Falle erfolgter Sicherheits-Verletzungen.
:Prozessziel: Aufdecken und Abwehren von Angriffen und Verletzungen der IT-Sicherheit, sowie Minimierung des Schadens im Falle erfolgter Sicherheits-Verletzungen.


;Security Review
;Security Review
:Prozessziel: Überprüfen, ob die Sicherheitsmaßnahmen und –Prozeduren immer noch im Einklang stehen mit den Risikoeinschätzungen aus Unternehmenssicht; Überprüfen, ob die entsprechenden Maßnahmen und Prozeduren regelmäßig auf dem aktuellen Stand gehalten und getestet werden.
:Prozessziel: Überprüfen, ob die Sicherheitsmaßnahmen und –Prozeduren immer noch im Einklang stehen mit den Risikoeinschätzungen aus Unternehmenssicht; Überprüfen, ob die entsprechenden Maßnahmen und Prozeduren regelmäßig auf dem aktuellen Stand gehalten und getestet werden.


<br style="clear:both;"/>


==Rollen in IT Security Management nach ITIL V3==
===== Downloads =====
 
Die folgenden Links verweisen auf das Übersichts-Diagramm zu ITIL Security Management mit einer Darstellung der wichtigsten Schnittstellen des ITIL-Prozesses. 
 
* [[:Image:Itil-security-management.jpg|ITIL - Security Management (.JPG)]]
* [https://wiki.de.it-processmaps.com/images/pdf/Prozessuebersicht_it_security_management_itilv3.pdf ITIL - Security Management (.PDF)]''
 
 
=== ITIL-Begriffe zum IT Security Management ===
 
;<span id="IT-Security-Strategie">IT-Security-Strategie</span>
:Die IT-Security-Strategie skizziert den gewählten Ansatz zur Gewährleistung der Sicherheit von IT-Services und -Systemen. Sie enthält eine Aufstellung der sicherheitsrelevanten Risiken sowie der bereits bestehenden oder geplanten Security Controls (Sicherheitskontrollen), mit denen solchen Risiken begegnet werden kann.
 
;<span id="IT-Sicherheitsbericht">IT-Sicherheitsbericht</span>
:Der IT-Sicherheitsbericht wird in regelmäßigen Abständen erstellt. Er liefert anderen Service-Management-Prozessen sowie dem IT-Management Information über den Stand der IT-Sicherheit.
 
;<span id="IT-Sicherheitsrichtlinie">IT-Sicherheitsrichtlinie</span>
:IT-Sicherheitsrichtlinien stellen bindende Regeln für die Nutzung von Services und Systemen zur Gewährleistung einer ausreichenden IT-Sicherheit auf.
 
;<span id="Security Advisories">Security Advisories</span>
:Eine Liste bekannter Sicherheitslücken, die z.B. aus Inputs von externen Produktlieferanten erstellt wird. Die Liste enthält Anweisungen zum Schließen der Sicherheitslücken und für den Umgang mit bereits eingetretenen Sicherheitsverletzungen.
 
;<span id="Security Alert">Security Alert (Sicherheitsalarm)</span>
:Ein Security Alert wird typischerweise vom IT Security Management herausgegeben, wenn Bedrohungen der IT-Sicherheit absehbar oder bereits eingetreten sind. Sicherheitswarnungen werden mit dem Ziel veröffentlicht, Anwender und IT-Mitarbeiter in die Lage zu versetzen, Angriffe auf die IT-Sicherheit zu erkennen und sich mit geeigneten Maßnahmen zu schützen.
 
;<span id="SMIS">Security Management Information System (SMIS)</span>
:Das Security Management Information System (SMIS) ist der zentrale Speicherort für alle relevanten Daten des Security-Management-Prozesses.
 
;<span id="Testplan Verfügbarkeit Kontinuität IT-Sicherheit">Testplan für Verfügbarkeit/ Kontinuität/ IT-Sicherheit</span>
:Ein Zeitplan für die regelmäßig durchzuführenden Tests der Verfügbarkeits-, Kontinuitäts- und Sicherheitsmechanismen, der gemeinsam vom Availability Management, IT Service Continuity Management und IT Security Management gepflegt wird.
 
;<span id="Testprotokoll">Testprotokoll</span>
:Ein Protokoll über Vorbereitung, Ablauf und Evaluierung eines Tests, erstellt zum Beispiel im Rahmen der verschiedenen Tests, die vom Availability, IT Service Continuity oder IT Security Management durchgeführt werden.
 
 
== Zusatzinformationen zum IT Security Management ==
 
==== ITIL-Kennzahlen (KPIs) ====
* [[ITIL-Kennzahlen Service Design#ITIL-Kennzahlen IT Security Management|Kennzahlen zum IT Security Management]]
 
 
==== ITIL-Rollen im IT Security Management ====
 
;IT Security Manager - Prozess-Verantwortlicher
:Der IT Security Manager ist verantwortlich dafür, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. Er ist normalerweise eingebunden in ein unternehmensweites Security Management, das einen breiteren Wirkungsbereich als der IT-Service-Provider hat; dieses umfasst u.a. auch einen den Sicherheitsaspekten genügenden Umgang mit Schriftstücken und Telefonaten innerhalb des Gesamtunternehmens sowie die Zugangskontrolle zu Betriebseinrichtungen.
 


* [[Rollen in ITIL V3#IT Security Manager|IT Security Manager]] (Prozess-Verantwortlicher)
<!-- Diese Seite liegt in folgenden Kategorien: -->
[[Kategorie:ITIL V3]][[Kategorie:ITIL-Prozess]][[Kategorie:Service Design]][[Kategorie:IT Security Management|!]]
<!-- keine Inhalte nach diesem Kommentar! -->

Version vom 4. Juli 2011, 14:52 Uhr

<seo metakeywords="itil security management, prozess security management, information security management" metadescription="ITIL Security Management: Prozess-Definition, Teil-Prozesse. Zusatzinformationen zu IT Security Management: Rollen, Checklisten, KPIs..." />

ES - EN - IT Security Managementesta página en españolthis Page in English
ES - EN - IT Security Management


IT Security Management nach ITIL: Überblick

Prozessziel: Sicherstellen, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. IT Security Management ist normalerweise in ein unternehmensweites Security Management eingebunden, das einen breiteren Wirkungsbereich als der IT-Service-Provider hat.

Englische Bezeichnung: IT Security Management

Teil von: Service Design

Prozess-Verantwortlicher: IT Security Manager


IT Security Management: Prozess-Beschreibung

IT Security Management

Innerhalb von ITIL V2 wurde IT Security Management noch in einer eigenen Publikation behandelt. ITIL V3 ordnet IT Security Management im Service-Design-Prozess ein, wodurch eine bessere Integration in den Service-Lifecycle erreicht wird. Der Prozess wurde darüber hinaus an neue Erkenntnisse und Anforderungen im Bereich der IT-Sicherheit angepasst.

IT Security Management nach ITIL V3 umfasst die folgenden Teilprozesse:

Teil-Prozesse

Design von Sicherheitskontrollen
Prozessziel: Angemessene technische und organisatorische Maßnahmen designen, mit denen sichergestellt werden kann, dass alle Assets, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind.
Sicherheits-Test
Prozessziel: Dafür Sorge tragen, dass alle Sicherheits-Mechanismen regelmäßigen Tests unterzogen werden.
Bearbeitung von Security Incidents
Prozessziel: Aufdecken und Abwehren von Angriffen und Verletzungen der IT-Sicherheit, sowie Minimierung des Schadens im Falle erfolgter Sicherheits-Verletzungen.
Security Review
Prozessziel: Überprüfen, ob die Sicherheitsmaßnahmen und –Prozeduren immer noch im Einklang stehen mit den Risikoeinschätzungen aus Unternehmenssicht; Überprüfen, ob die entsprechenden Maßnahmen und Prozeduren regelmäßig auf dem aktuellen Stand gehalten und getestet werden.


Downloads

Die folgenden Links verweisen auf das Übersichts-Diagramm zu ITIL Security Management mit einer Darstellung der wichtigsten Schnittstellen des ITIL-Prozesses.


ITIL-Begriffe zum IT Security Management

IT-Security-Strategie
Die IT-Security-Strategie skizziert den gewählten Ansatz zur Gewährleistung der Sicherheit von IT-Services und -Systemen. Sie enthält eine Aufstellung der sicherheitsrelevanten Risiken sowie der bereits bestehenden oder geplanten Security Controls (Sicherheitskontrollen), mit denen solchen Risiken begegnet werden kann.
IT-Sicherheitsbericht
Der IT-Sicherheitsbericht wird in regelmäßigen Abständen erstellt. Er liefert anderen Service-Management-Prozessen sowie dem IT-Management Information über den Stand der IT-Sicherheit.
IT-Sicherheitsrichtlinie
IT-Sicherheitsrichtlinien stellen bindende Regeln für die Nutzung von Services und Systemen zur Gewährleistung einer ausreichenden IT-Sicherheit auf.
Security Advisories
Eine Liste bekannter Sicherheitslücken, die z.B. aus Inputs von externen Produktlieferanten erstellt wird. Die Liste enthält Anweisungen zum Schließen der Sicherheitslücken und für den Umgang mit bereits eingetretenen Sicherheitsverletzungen.
Security Alert (Sicherheitsalarm)
Ein Security Alert wird typischerweise vom IT Security Management herausgegeben, wenn Bedrohungen der IT-Sicherheit absehbar oder bereits eingetreten sind. Sicherheitswarnungen werden mit dem Ziel veröffentlicht, Anwender und IT-Mitarbeiter in die Lage zu versetzen, Angriffe auf die IT-Sicherheit zu erkennen und sich mit geeigneten Maßnahmen zu schützen.
Security Management Information System (SMIS)
Das Security Management Information System (SMIS) ist der zentrale Speicherort für alle relevanten Daten des Security-Management-Prozesses.
Testplan für Verfügbarkeit/ Kontinuität/ IT-Sicherheit
Ein Zeitplan für die regelmäßig durchzuführenden Tests der Verfügbarkeits-, Kontinuitäts- und Sicherheitsmechanismen, der gemeinsam vom Availability Management, IT Service Continuity Management und IT Security Management gepflegt wird.
Testprotokoll
Ein Protokoll über Vorbereitung, Ablauf und Evaluierung eines Tests, erstellt zum Beispiel im Rahmen der verschiedenen Tests, die vom Availability, IT Service Continuity oder IT Security Management durchgeführt werden.


Zusatzinformationen zum IT Security Management

ITIL-Kennzahlen (KPIs)


ITIL-Rollen im IT Security Management

IT Security Manager - Prozess-Verantwortlicher
Der IT Security Manager ist verantwortlich dafür, dass alle Güter, Informationen, Daten und IT-Services eines Unternehmens jederzeit hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit geschützt sind. Er ist normalerweise eingebunden in ein unternehmensweites Security Management, das einen breiteren Wirkungsbereich als der IT-Service-Provider hat; dieses umfasst u.a. auch einen den Sicherheitsaspekten genügenden Umgang mit Schriftstücken und Telefonaten innerhalb des Gesamtunternehmens sowie die Zugangskontrolle zu Betriebseinrichtungen.