Michael Weller

IT-Sicherheitsmanagementsysteme

© Wright Studio/shutterstock.com

Michael Weller

Eine Übersicht

Nachfolgend werden ausgewählte Modelle ohne Anspruch auf Vollständigkeit kurz vorgestellt. Eine Empfehlung für das eine und gegen das andere Modell ist damit nicht verbunden. Die Ausführungen sollen vielmehr als Hinweise verstanden werden, welche besonderen Umstände die Entwicklung der Modelle beeinflusst haben und welche besonderen Herausforderungen damit einhergehen, wenn diese als Ausgangspunkt oder Vorbild für ein eigenes ISMS dienen sollen.
Sämtlichen Modellen liegt die Anwendung im Unternehmensumfeld zugrunde. Dadurch ergibt sich eine primäre Ausrichtung nicht auf die Schule oder auch nur den öffentlichen Bereich, sondern die Wirtschaft (vgl. den Beitrag „Technische und organisatorische Maßnahmen IT-Sicherheit im Heft).
COBIT
Bis zur Version 4.1 stand das Akronym COBIT für Control Objectives for Information and Related Technology. Seit der Version 5.0 wird allein das Akronym als Bezeichnung für ein Framework zur IT-Governance verwendet. Es handelt sich in der Sache um ein Werkzeug zur Steuerung der IT aus Sicht der Leitungsebene. Insbesondere geht es um die Gewährleistung der Einhaltung gesetzlicher Anforderungen, mithin ist COBIT ein Compliance-Werkzeug. Das Steuerungsmodell setzt die Festlegung von IT-Zielen voraus. Diese Ziele haben Einfluss auf die IT-Architektur, mittels derer Verwaltung von IT-Ressourcen und die Erbringung von Services im Rahmen angemessen definierter und betriebener IT-Prozesse erfolgen kann (s. Anm.1).
COBIT definiert fünf grundlegende Prinzipien für Governance als Vorgabe der Richtung, Priorisierung und Festlegung der Ziele sowie für das Management als Planung, Implementierung, Durchführung und Überwachung der Aktivitäten. Hierbei gehört COBIT zu den ganzheitlichen Modellen, es erfasst die Organisation in ihrer Gesamtheit. Dazu werden sieben Enabler definiert, die die Zielerreichung umfassend abbilden können und aus denen sich 17 generische Ziele der betreffenden Organisation ableiten lassen, die ihrerseits 17 generischen IT-Zielen zugeordnet werden können. Diese werden auch wieder generischen und spezifischen Enabler-Zielen sowie den 37 in COBIT definierten Prozessen zugeordnet. Diese 37 Prozesse sind ihrerseits in fünf Domänen gruppiert.
Das Modell ist in den Mitgliedsstaaten der Europäischen Union anerkannt. Es kann mit anderen Standards wie z.B. ITIL oder ISO 27001 kombiniert werden.Die Umsetzung dieses Modells ist in Unternehmen verbreitet. Es besteht die Möglichkeit, verschiedene Anwender-Zertifikate zu erwerben. Das von der Information Systems Audit and Control Association, ISACA, entwickelte Modell dient nach seinem Selbstverständnis als Bindeglied zwischen unternehmensweiten Steuerungs-Frameworks und den IT-spezifischeren Modellen wie z.B. ITIL und ISO 27001 ff.
ITIL
Die Information Technology Infrastructure Library, ITIL, ist ein markenrechtlich geschützter Begriff von AXELOS Ltd., London, einem Joint Venture von CAPITA plc, London, und dem Cabinet Office, das als zentrale Behörde des Vereinigten Königreichs die Aufgabe hat, Premierminister und Kabinett in der Regierungsarbeit zu unterstützen. Es handelt sich in der Sache um Best-Practice-Vorschläge, die sich nach der Zuweisung von typischen Rollen und Funktionen in mittleren und großen Unternehmen in Bezug auf den IT-Einsatz erkennen lassen. Diese Best Practices sind auf den individuellen Anwendungsfall anzupassen.
Mit der am 18.02.2019 erfolgten Veröffentlichung von ITIL 4 Edition werden nicht nur die bestehenden, seit den 1980er kontinuierlich weiterentwickelten Inhalte fortgeschrieben, sondern fließen neue Gedanken in das IT-Service-Management ein. Als Schlüsselelement wird neben dem ITIL Service-Value-System das Vier-Dimensionen-Modell hervorgehoben (s. Anm.2).
Die ITIL Service-Wertschöpfungskette beschreibt sechs Aktivitäten: Planung, Verbesserung, Engagement, Entwurf und Überleitung, Beschaffung bzw. Konstruktion sowie abschließend Lieferung und...
On lernen digital
Sie sind bereits Abonnent?

Mein Konto

Weiterlesen im Heft

Ausgabe kaufen

On lernen digital abonnieren und digital lesen!
  • Exklusiver Online-Zugriff auf Ihre digitalen Ausgaben
  • Print-Ausgabe der abonnierten Zeitschrift bequem nach Hause
  • Zusatzvorteile für Abonnenten im Online-Shop genießen

Zeitschrift abonnieren

Fakten zum Artikel
aus: On lernen digital Nr. 2 / 2020

IT-Sicherheit

Kennzeichnung Premium-Beitrag aus der Zeitschrift "on. Lernen in der digitalen Welt" Hintergrund Schuljahr 1-13