IT Security Management mit ITIL

Informationssicherheit als zyklischer Prozess

ITIL gliedert Informationssicherheit in die vier Bereiche Richtlinien (Gesamtziele einer Organisation), Prozesse (Wie erreicht sie diese Ziele), Vorgehensweise (Wer macht was und wann, um die Ziele zu erreichen) sowie Arbeitsanweisungen für konkrete Aktionen. Dabei ist Informationssicherheit als ein komplett zyklischer Prozess mit kontinuierlicher Überprüfung und Verbesserung definiert. Dieser Prozess läuft idealtypisch in sieben Schritten ab:

1. Über eine Analyse der Risiken (beispielsweise Softwarefehler, Betriebsfehler, Kommunikation unterbrochen, Wahrscheinlichkeit des Auftretens, potenzieller Einfluss auf Business, vergangene Erfahrungen) identifizieren die IT-Kunden ihre Sicherheitsanforderungen.

2. Die IT-Abteilung prüft die Machbarkeit dieser Anforderungen und vergleicht sie mit den in der Organisation festgesetzten Minimalrichtlinien für Informationssicherheit.

3. Der Kunde und die IT-Abteilung verhandeln und erarbeiten ein Service Level Agreement (SLA), das die Anforderungen an Informationssicherheit in messbaren Größen definiert und genau festlegt, wie diese überprüfbar erreicht werden sollen.

4. Die IT-Organisation definiert Operational Level Agreements (OLA), die detailliert beschreiben, wie sie die Services für Informationssicherheit bereitstellt.

5. Die SLA und OLAs werden implementiert und überwacht.

6. Die Kunden erhalten regelmäßig Berichte über die Effektivität und den aktuellen Status der Services, welche die Informationssicherheit garantieren sollen.

7. Die SLA and OLAs werden überarbeitet, falls es notwendig sein sollte.