IT-Standards mit Sicherheitsbezug

Sicherheit kommt in allen modellhaften Betrachtungen der IT-Organisation vor. Alternativ zu den genannten ISMS-Konzepten reicht es für manche Unternehmen unter Umständen schon aus, sich an solchen traditionellen Standards zu orientieren. Die wichtigsten sind:

COBIT: Diese Abkürzung steht für Control Objectives for Information and Related Technology, was frei übersetzt so viel heißt wie „Kontrollziele für Informationen und darauf bezogene Technologien“. Das sehr umfangreiche Kontrollsystem betrachtet geschäftsrelevante Informationstechnologien von der Planung bis zum Ende der Nutzung ganzheitlich unter Managementgesichtspunkten und kann deshalb Einsatzrisiken begegnen.

COBIT definiert hierzu die notwendigen Ziele, wobei die IT-Sicherheit selbst nicht im Vordergrund steht, vielmehr dient das Konzept dem Erlangen der IT-Governance, bei der ein Dreiklang aus Führung, Organisationsstrukturen und Prozessen gewährleisten soll, dass die IT die Unternehmensstrategie und die Unternehmensziele unterstützt.

ITIL: Die Information Technology Infrastructure Library, kurz ITIL, ist quasi die „Mutter“ aller Good- beziehungsweise Best-Practice-Ansätze. Die Verfahrensbibliothek bietet in puncto IT-Sicherheit ebenfalls einige wichtige Schritte und Vorschläge. Ihr Ziel ist es, die innerbetrieblichen Geschäftsprozesse mit den als notwendig erkannten oder schon ein­gerichteten IT-Prozessen in Form von „IT-Services“ zu verbinden.

Hierzu gibt ITIL den Verantwortlichen Verfahren an die Hand, um die oft noch sehr technologiezentrierte Informa­tionstechnologie gedanklich zu verlassen und durch eine service- und prozessorientierte Interpretation des IT-Einsatzes zu ersetzen, bei dem die IT-Dienste über ihren gesamten Lebenszyklus hinweg betrachten werden. 

Während in COBIT eher definiert ist, was es zu erreichen gilt, liegt der Schwerpunkt bei ITIL auf der Frage, wie sich derlei Ziele überhaupt erreichen lassen. ITIL legt den Fokus auf die Gestaltung eines ordnungsgemäßen und nach definierten Regeln ablaufenden IT-Betriebs.

Da in jeder Regel auch das Thema IT-Sicherheit berücksichtigt sein kann, stellt dieses Modell gleichzeitig ein IT-Sicherheitssystem dar. Ein klassisches Beispiel aus dem ITIL-Umfeld sind geplante Änderungen im System durch das Change Management. Neben der zeitlichen Planung ist dabei ausreichend Raum, um verschiedene sicherheitsrelevante Aspekte aufzunehmen.

Im Unterschied zum praktischen Maßnahmenkatalog des BSI-IT-Grundschutzes geht es bei ITIL um eine veränderte Einstellung zur Organisation von IT-Abläufen.

ITIL unterstützt letztlich die Unternehmensführung bei der Ausbildung eines IT-Service-Managements. Die Ansätze nach ITIL dienen nicht nur der Einrichtung von ITIL-Service-Diensten, sondern gleichzeitig der Eta­blierung eines Sicherheitsmanagementsystems.

ISO/IEC 20000: Bereits der Aufbau und das Einrichten eines Service-Managementkonzepts können das Fundament einer ISMS-Installation bilden, beispielsweise nach ISO/IEC 20000. Diese internationale Norm dokumentiert die Anforderungen an ein professionelles IT-Service-Management. ISO/IEC 20000 ist ausgerichtet an Prozessbeschreibungen, wie sie in ITIL definiert sind, und ergänzt diese um die Bereiche „Information Security Management“ und „Incident Management“.