Microsoft Security Assessment
Dabei werden insbesondere die Belange international agierender Organisationen berücksichtigt. Itil konzentriert sich dagegen eher auf die Vermeidung von Risiken, indem Themen wie Security-Management, Configuration-Management und Service Level Agreements (SLAs) beschrieben werden.
Das "Microsoft Security Assessment Tool" (MSAT), das mittlerweile in Version 2.0 vorliegt, orientiert sich neben ISO 17799 am IT-Grundschutz, wie ihn das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert, und eignet sich laut Hersteller für Unternehmen und Organisationen mit bis zu 1000 Mitarbeitern. Die Risikobewertung erfolgt anhand von 172 Fragen: Neben grundlegenden Informationen zum Unternehmen sind Angaben zur Infrastruktursicherheit, zur Anwendungssicherheit, zur Betriebssicherheit, zur physischen und organisatorischen Sicherheit und zur Umgebung zu machen. Der Schwerpunkt der Analyse liegt hierbei auf den eingesetzten Techniken. So geht es in der Kategorie Betriebssicherheit (Betriebsabläufe) etwa um die Umgebung, Sicherheitsrichtlinien sowie das Patch- und Update-Management.
Leitfaden zur IT-Governance
IT-Governance beinhaltet die Organisation, Steuerung und Kontrolle der IT eines Unternehmens durch das Management. Ziel ist, die IT kontinuierlich an den Unternehmenszielen und -prozessen auszurichten, das Unternehmen beim Erreichen von Geschäftszielen zu unterstützen, einen verantwortungsvollen und nachhaltigen Einsatz der IT-Ressourcen zu fördern sowie IT-bedingte Risiken einzuschränken. Eine funktionierende Abstimmung zwischen IT und Management (Alignment) ist damit eine grundlegende Voraussetzung für den Erfolg.
Das IT Governance Institute (ITGI) hat drei Tools herausgegeben, um Geschäftsführern, IT-Sicherheitsexperten und Betriebsprüfern ein besseres Verständnis ihrer jeweiligen Rollen und Verantwortungen im Hinblick auf die IT-Governance zu ermöglichen. Das "Board Briefing on IT Governance" richtet sich an Aufsichtsräte und die Führungsmannschaft. Der "IT Governance Implementation Guide" soll als Anleitung für die Ausführung oder Verbesserung von IT-Governance dienen und orientiert sich an den Grundlagen der international anerkannten Methode Control Objectives for Information and related Technologies (CobIT).
Das "IT Governance Business Game" schließlich richtet sich an alle IT-Governance-Interessierten und ermöglicht es den Teilnehmern, für einen Tag in eine Rolle zu schlüpfen, die sie normalerweise nicht ausüben, und damit über den eigenen Tellerrand hinauszublicken. Weitere Informationen und Download-Möglichkeiten unter www.itgi.org.