Die „Information Technology Infrastructure Library“ (ITIL) ist der De-facto-Standard für das Management von IT-Services. Außer zehn Kernprozessen in zwei Bereichen („Service Support“ mit den Prozessen Incident, Problem, Configuration, Change und Release Management sowie „Service Delivery“ mit dem Management von Service Levels, Capacity, Availability, Service Continuity und Financials) definiert ITIL das Security Management als übergreifenden Prozess.
Christian Aust, Security-Berater aus HamburgDie ITIL-Sicherheitsmaßnahmen basieren auf dem „Code of Practice for Information Security Management“, BS7799, des British Standards Institute. Dieser Standard stellt ein Framework zur Erreichung von Informationssicherheit dar, das den Best- Practice-Ansatz verfolgt.„Ausgangspunkt ist eine Security Policy als Commitment des Unternehmens für die IT-Sicherheit“, erläutert Christian Aust, Partner der Security-Beratung Consecco und Autor (Buchkapitel „IT-Sicherheitsmanagement mit ITIL“. s. u.).
Von der Policy zum Plan
Aus der Security Policy lassen sich Sicherheitskonzepte und -maßnahmen ableiten; die Anforderungen der Fachbereiche werden dabei dokumentiert und mit den Service Level Agreements (SLAs) aller ITILProzesse verglichen. Hieraus resultiert ein „Security Implementation Plan“, in dem die notwendigen Sicherheitsmaßnahmen festgelegt werden.
Im ITIL-Standard ist Security Management als Prozess definiert, der in alle anderen IT-Serviceprozesse hineinwirkt.Für die Fachbereiche steht im Vordergrund, dass Informationen geschützt werden: vor unbefugtem Zugriff (Ziel:Vertraulichkeit), Verfälschung (Integrität) und Verlust (Verfügbarkeit). Das setzt voraus, dass sie ihre Anforderungen als Grundlage für ein Security Service Level Agreement (Sec- SLA) konkretisieren. Erst auf dieser Basis kann die IT-Abteilung das IT-Sicherheitsmanagement als Prozess (siehe Grafik vorige Seite) mit seinen Subprozessen Planung, Einführung, Bewertung und Wartung umsetzen. In ITIL steckt Erfahrung; die Library beschreibt einen Best- Practice-Ansatz für das IT-Servicemanagement. Der Security-Prozess ist eng mit den anderen ITIL-Prozessen verflochten, so Aust. Das Urteil des Beraters: „Security nach ITIL bringt Synergien mit anderen IT-Serviceprozessen und optimiert die Ressourcennutzung.“