IT Security Management: ITIL zeigt gangbare Wege auf

ITIL gliedert Informationssicherheit in die vier Bereiche Richtlinien (Gesamtziele einer Organisation), Prozesse (wie erreicht sie diese Ziele), Vorgehensweise (wer macht was und wann, um die Ziele zu erreichen) sowie Arbeitsanweisungen für konkrete Aktionen. Dabei ist Informationssicherheit als ein komplett zyklischer Prozess mit kontinuierlicher Überprüfung und Verbesserung definiert. Dieser Prozess läuft idealtypisch in sieben Schritten ab.

1. Über eine Analyse der Risiken (zum Beispiel Softwarefehler, Betriebsfehler, Kommunikation unterbrochen, Wahrscheinlichkeit des Auftretens, potenzieller Einfluss auf Business, vergangene Erfahrungen) identifizieren die IT-Kunden ihre Sicherheitsanforderungen.
2. Die IT-Abteilung prüft die Machbarkeit dieser Anforderungen und vergleicht sie mit den in der Organisation festgesetzten Minimalrichtlinien für Informationssicherheit.
3. Der Kunde – sei er nun intern oder extern – und die IT-Abteilung verhandeln und erarbeiten ein Service Level Agreement (SLA). Dieses definiert Anforderungen an Informationssicherheit in messbaren Größen und legt genau fest, wie diese überprüfbar erreicht werden sollen.
4. Die IT-Organisation definiert Operational Level Agreements (OLA), die detailliert beschreiben, wie sie die Services für Informationssicherheit bereitstellt.
5. Die SLAs und OLAs werden implementiert und überwacht.
6. Die Kunden erhalten regelmäßig Berichte über die Effektivität und den aktuellen Status der Services, die die Informationssicherheit garantieren sollen.
7. SLAs and OLAs werden überarbeitet, falls es notwendig sein sollte.

Wichtig dabei: IT Security Management ist Chefsache. Die Entscheidung, ob, wie und zu welchen Kosten derartige Prozesse im Unternehmen eingeführt werden, setzt eine Abstimmung und Zustimmung mit der beziehungsweise durch die Geschäftsführung voraus. Das Senior Management sollte die Sicherheitsstrategie definieren, nach innen und außen kommunizieren und für die effektive Implementierung sorgen. Zudem ist es Aufgabe des Managements, die Rollen und Zuständigkeiten für Secuity Management zu definieren und zu verteilen.

Eine vorher festgelegte Managergruppe muss die Effizienz der Sicherheitsmaßnahmen kontinuierlich überwachen, um deren Effektivität und Effizienz fortwährend zu bewerten und eine Grundlage für Anpassungen und weitere Maßnahmen zu erhalten. Wichtig dabei sind die Dokumentation und das regelmäßige Reporting: Damit erhält das Management Informationen über die Wirksamkeit der Sicherheitsmaßnahmen, Trends bei Sicherheitsvorfällen und Anregungen für mögliche Verbesserungen.