164302

IT-Sicherheitsmanagment nach ITIL

03.06.2008 | 10:01 Uhr |

Die Richtlinien von ITIL (IT Infrastructure Library) haben sich längst als allgemeiner Standard bei der Definition und Implementierung von IT-Services etabliert. Über ITIL lässt sich auch ein IT-Sicherheitsmanagment aufsetzen, das international gültigen Maßstäben entspricht.

Sicherheit ist in den letzten Jahren immer mehr ins Zentrum der IT-Strategie gerückt. Mit gutem Grund: Da Geschäftsprozesse in der Regel durch Software-Anwendungen unterstützt und alle Daten elektronisch gespeichert werden, haben Sicherheitsprobleme haben fast immer Auswirkungen auf die Geschäftstätigkeit eines Unternehmens und oft auch auf den Umsatz – vom Image-Schaden und dem Vertrauensverlust bei Kunden und Lieferanten gar nicht zu sprechen.

IT-Verantwortliche müssen sich entsprechend sorgfältig mit dem Thema beschäftigen und ihre Maßnahmen immer als Teil eines Gesamtkonzepts betrachten. Dazu gehören auch grundlegende Fragen wie die Absicherung von Unternehmensinformationen oder deren Nutzung durch Mitarbeiter, die in verschiedenen Standorten arbeiten und unterschiedliche Zugriffsrechte haben. Auch muss sichergestellt werden, dass gesetzliche Bestimmungen und verschiedene kommerzielle Richtlinien eingehalten werden. Diese sorgen dafür, dass beispielsweise persönliche Mitarbeiterdaten vor Missbrauch geschützt oder Informationen transparent und sicher aufbewahrt werden.

Bewerkstelligen lässt sich diese Aufgabe über die Implementierung eines umfassenden Security-Managements. Dazu gehören die Definition von Sicherheitszielen, Richtlinien, Maßnahmen, Prozessen sowie deren Umsetzung. Ziel ist es, Schwachstellen bereits im Vorfeld zu erkennen und nicht erst, wenn der Schaden bereits aufgetreten ist. Eine gut durchdachte Sicherheitsstrategie legt genau fest, was wann in welcher Situation zu tun ist. Sehr effizient ist dieses IT-Security-Management-System (ISMS), wenn es auf ITIL V3 beruht und Normen wie ISO 20000 und 27001 erfüllt.

ITIL ist kein Standard im eigentlichen Sinne, sondern eine international etablierte Verfahrensbibliothek, die für die Praxis Beispiele (Best Practices) zur Prozessoptimierung in Unternehmen bereitstellt. Ziel von ITIL ist die Konzentration des IT-Service auf die bestmögliche Unterstützung der Geschäftsprozesse. ITIL schafft die Basis für sichere, verfügbare und integre IT-Dienstleistungen, die in Service Level Agreements (SLA) optimal und punktgenau verhandelt werden können. Daher sind ITIL und IT-Security untrennbar miteinander verbunden.

ITIL baut IT-Sicherheit wesentlich stärker in Prozessabläufe ein als andere Modelle und zeigt damit auf, wie sich Security Management in ein professionelles IT Service Management integrieren lässt. Mithilfe von ITIL werden alle Informationen der Organisation bewertet, Risiken eingeschätzt, geeignete Sicherheitsrichtlinien und -maßnahmen festgelegt sowie der gesamte Sicherheitsprozess gesteuert. Dieser ist bestimmt durch permanente Kontrolle und Verbesserung.

Der ITIL-Security-Management-Prozess beschreibt die strukturierte Einführung von Sicherheit in allen Bereichen einer Organisation. Er basiert auf den Standards ISO/IEC 17799, ISO 27001 sowie ISO 20000 und orientiert sich an den Unternehmenszielen, den vorhandenen Strukturen eines Unternehmens sowie der bestehenden IT-Infrastruktur. IT-Sicherheit wird dabei definiert als die Implementierung von Schutzmaßnahmen zur Sicherstellung fortgesetzter IT-Services innerhalb sicherer Parameter.

0 Kommentare zu diesem Artikel
164302