IT Security Management mit ITIL

Basis: ISO-Standards 20000, 27001 und 17799

Der ITIL-Security-Management-Prozess beruht auf den drei ISO-Standards 20000, 27001 und 17799:

Die ISO 20000 ist ein international anerkannter Standard für das IT Service Management. Sie spezifiziert die notwendigen Mindestanforderungen an Prozesse, die eine Organisation etablieren muss, um IT-Services in definierter Qualität für interne und externe Kunden erbringen zu können. Die ISO 20000 und ITIL stehen nicht in Konkurrenz oder im Widerspruch zueinander, sondern ergänzen sich gegenseitig.

Das IT Security Management ist in ITIL eine eigene Disziplin außerhalb des IT Service Managements. Die ISO 20000 enthält nur allgemeine Vorgaben für die Einrichtung eines IT-Sicherheitsmanagements. Für die Zertifizierung des IT Security Managements wurde daher eine eigene Norm geschaffen, die ISO 27001.

Die internationale Norm ISO/IEC 27001 „Information technology – Security techniques – Information security management systems – Requirements“ spezifiziert die Anforderungen für geeignete Sicherheitsmechanismen zum Schutz sämtlicher Werte in der IT. Sie berücksichtigt dabei die Sicherheitsrisiken innerhalb der einzelnen Organisation (Unternehmen, staatliche Organisationen, Non-Profit-Organisationen) und formuliert Grundsätze zu Implementierung, Betrieb, Überwachung, Wartung und Verbesserung eines Information-Security-Management-Systems.

Der internationale Standard ISO 17799 (bald ISO 27002) (Information technology - Code of practice for information security management) enthält verschiedene Kontrollmechanismen für die Informationssicherheit. Ähnlich ITIL handelt es sich dabei um einen „Best Practice“-Ansatz, das heißt eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis. Eine Zertifizierung nach ISO 17799 ist daher grundsätzlich nicht möglich. Der Standard überwacht unter anderen Weisungen und Richtlinien zur Informationssicherheit, die Organisation der Sicherheitsmaßnahmen, Zugriffskontrolle, Systementwicklung und Wartung, den Umgang mit Sicherheitsvorfällen oder den Notfallvorsorgeplan (Business Continuity Management).