Basis: ISO-Standards 20000, 27001 und 17799

Der ITIL-Security-Management-Prozess beruht auf den drei ISO-Standards 20000, 27001 und 17799:

Die ISO 20000 ist ein international anerkannter Standard für das IT Service Management. Sie spezifiziert die notwendigen Mindestanforderungen an Prozesse, die eine Organisation etablieren muss, um IT-Services in definierter Qualität für interne und externe Kunden erbringen zu können. Die ISO 20000 und ITIL stehen nicht in Konkurrenz oder im Widerspruch zueinander, sondern ergänzen sich gegenseitig.

Das IT Security Management ist in ITIL eine eigene Disziplin außerhalb des IT Service Managements. Die ISO 20000 enthält nur allgemeine Vorgaben für die Einrichtung eines IT-Sicherheitsmanagements. Für die Zertifizierung des IT Security Managements wurde daher eine eigene Norm geschaffen, die ISO 27001.

Die internationale Norm ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“ spezifiziert die Anforderungen für geeignete Sicherheitsmechanismen zum Schutz sämtlicher Werte in der IT. Sie berücksichtigt dabei die Sicherheitsrisiken innerhalb der einzelnen Organisation (Unternehmen, staatliche Organisationen, Non-Profit-Organisationen) und formuliert Grundsätze zu Implementierung, Betrieb, Überwachung, Wartung und Verbesserung eines Information-Security-Management-Systems.

Der internationale Standard ISO 17799 (bald ISO 27002) (Information technology - Code of practice for information security management) enthält verschiedene Kontrollmechanismen für die Informationssicherheit. Ähnlich ITIL handelt es sich dabei um einen „Best Practice“-Ansatz, das heißt eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis. Eine Zertifizierung nach ISO 17799 ist daher grundsätzlich nicht möglich. Der Standard überwacht unter anderen Weisungen und Richtlinien zur Informationssicherheit, die Organisation der Sicherheitsmaßnahmen, Zugriffskontrolle, Systementwicklung und Wartung, den Umgang mit Sicherheitsvorfällen oder den Notfallvorsorgeplan (Business Continuity Management).

ITIL gliedert Informationssicherheit in die vier Bereiche Richtlinien (Gesamtziele einer Organisation), Prozesse (Wie erreicht sie diese Ziele), Vorgehensweise (Wer macht was und wann, um die Ziele zu erreichen) sowie Arbeitsanweisungen für konkrete Aktionen. Dabei ist Informationssicherheit als ein komplett zyklischer Prozess mit kontinuierlicher Überprüfung und Verbesserung definiert. Dieser Prozess läuft idealtypisch in sieben Schritten ab:

1. Über eine Analyse der Risiken (beispielsweise Softwarefehler, Betriebsfehler, Kommunikation unterbrochen, Wahrscheinlichkeit des Auftretens, potenzieller Einfluss auf Business, vergangene Erfahrungen) identifizieren die IT-Kunden ihre Sicherheitsanforderungen.

2. Die IT-Abteilung prüft die Machbarkeit dieser Anforderungen und vergleicht sie mit den in der Organisation festgesetzten Minimalrichtlinien für Informationssicherheit.

3. Der Kunde und die IT-Abteilung verhandeln und erarbeiten ein Service Level Agreement (SLA), das die Anforderungen an Informationssicherheit in messbaren Größen definiert und genau festlegt, wie diese überprüfbar erreicht werden sollen.

4. Die IT-Organisation definiert Operational Level Agreements (OLA), die detailliert beschreiben, wie sie die Services für Informationssicherheit bereitstellt.

5. Die SLA und OLAs werden implementiert und überwacht.

6. Die Kunden erhalten regelmäßig Berichte über die Effektivität und den aktuellen Status der Services, welche die Informationssicherheit garantieren sollen.

7. Die SLA and OLAs werden überarbeitet, falls es notwendig sein sollte.