Der ITIL-Security-Management-Prozess beruht auf den drei ISO-Standards 20000, 27001 und 27002. ISO 20000 ist ein international anerkannter Standard für das IT Service Management. Er spezifiziert die notwendigen Mindestanforderungen an Prozesse, die eine Organisation einrichten muss, um IT-Services in definierter Qualität für interne und externe Kunden erbringen zu können. ISO 20000 und ITIL stehen nicht in Konkurrenz oder im Widerspruch zueinander, sondern ergänzen sich gegenseitig.
IT Security Management ist in ITIL eine eigene Disziplin außerhalb des IT Service Management. ISO 20000 enthält nur allgemeine Vorgaben für die Einrichtung eines IT-Sicherheitsmanagements. Für die Zertifizierung des IT Security Management wurde daher mit ISO 27001eine eigene Norm geschaffen.
Die internationale Norm ISO/IEC 27001 spezifiziert die Anforderungen für geeignete Sicherheitsmechanismen zum Schutz sämtlicher Werte in der IT. Sie berücksichtigt Sicherheitsrisiken innerhalb der einzelnen Organisation (Unternehmen, staatliche Organisationen, Non Profit-Organisationen) und formuliert Grundsätze zu Implementierung, Betrieb, Überwachung, Wartung und Verbesserung eines Information-Security-Management-Systems.
Der internationale Standard ISO 27002 enthält verschiedene Kontrollmechanismen für die Informationssicherheit. Ähnlich ITIL handelt es sich dabei um einen „Best Practice“-Ansatz, also eine Sammlung von Erfahrungen, Verfahren und Methoden aus der Praxis. Eine Zertifizierung nach ISO 27002 ist daher grundsätzlich nicht möglich. Der Standard überwacht unter anderen Weisungen und Richtlinien zur Informationssicherheit, die Organisation der Sicherheitsmaßnahmen, Zugriffskontrolle, Systementwicklung und Wartung, den Umgang mit Sicherheitsvorfällen oder den Notfallvorsorgeplan (Business Continuity Management).
Neueste Kommentare
Noch keine Kommentare zu IT Security Management: ITIL zeigt gangbare Wege auf
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.