Informationssicherheits-Management in ITIL-Prozessen

ITIL steht für "IT Infrastructure Library" und bestand ursprünglich nur aus einer umfangreichen Prozessdokumentationsreihe, die Best-Practice-Lösungen für Service-Prozesse in IT-Umgebungen beschreibt.

Ziel der in ITIL beschriebenen Prozesse ist es, die Qualität der Geschäftsprozesse optimal zu unterstützen sowie diese nach den Zielen des Unternehmens auszurichten. Inzwischen steht der Begriff ITIL für weitaus mehr als eine umfangreiche Sammlung von Prozessabläufen. Vielmehr verkörpert der defacto-Standard eine IT-Management-Philosophie, die durch Vereinheitlichung den Dialog fördert. ITIL-Trainings und Beratung gehören mittlerweile ebenso dazu und ermöglichen den Aufbau von Management-Systemen effizient in kurzer Zeit.

Die in ITIL beschriebene Prozesse sind nach Strategie-Hierarchie-ebenen gruppiert in ein "Manager Set", die Kernprozesse des "Service Delivery Sets"

	Availability Management,
	Capacity Management,
	IT Service Continuity Management,
	Financial Management for IT services,
	Service Level Management,

und des "Service Support Sets"

	Service Desk,
	Incident Management,
	Problem Management,
	Change Management,
	Release Management,
	Configuration Management.

Neben diesen ITIL-Kernprozessen muss ein Security-Management-Prozess etabliert werden. Dieser baut in ITIL auf BS 7799 auf und wird somit so implementiert, wie Consecur üblicherweise bei seinen Kunden verfährt:

	Planen
	Implementieren
	Bewerten
	Reagieren

Unterstützt wird dieser Kreisprozess durch:

	die SLA-Schnittstelle zum Kunden
	einen Kontrollprozess

Für einen separaten, übergreifenden ISM-Prozess auch oder gerade in einem nach ITIL organisierten Unternehmen sprechen mehrere Gründe:

1	_Schnittstellen-Koordination: Schnittstellen zwischen ITIL-Prozessen werden nach dem ITIL-Rahmenwerk nicht zentral koordiniert. Insbesondere für die Koordination von IS-Aufgaben gibt es keine definierten Schnittstellen. Durch einen zentralen ISM-Prozess ist die Koordination möglich
2	_vernachlässigte IS-Ziele abdecken und repräsentieren: In den ITIL-Kernprozessen ist Informationssicherheit nicht primäres Prozessziel. Aus diesem Grund wird sie von den Prozessverantwortlichen häufig vernachlässigt oder unterpriorisiert. Darüber hinaus gibt es IS-Aspekte, die in keinem anderen IT-Prozess abgedeckt werden. Es bedarf zentraler Kontrollmechanismen und fachlicher Unterstützung in Form eines IS-Managements.
3	_Synergien durch Sicherheitsstandards: Mehrfach benötigte IS-relevante Policies, Prozesse, Management-Methoden und IT-Systeme sollten zentral standardisiert werden.
4	_IS-Verantwortung im ITIL-Prozess: Der Vorteil eines ISM lässt sich speziell in einer nach ITIL organisierten Struktur nutzen: Es gibt einen klaren Verantwortungsbereich in Bezug auf den ITIL-Geschäftsprozess für den Prozess-Manager. Die Sicherheitsaufgabe kann also nicht komplett auf einen getrennten ISM-Prozess übertragen werden. Wenn der IS-Manager den Prozess-Verantwortlichen ihre Teilverantwortung verdeutlicht, so kann er sie leichter für eine Zusammenarbeit gewinnen.
5	_Einbindung von neuen Systemen in den IM Prozess Identifikation von Schnittstellen, Anpassung / Erweiterung von Rollendefinitionen
6	_Optimierung bestehender Rollenkonzepte hinsichtlich der genannten Anforderungen ConSecur unterstützt Sie bei der Spezifikation, Einführung, Optimierung und Kontrolle Ihres Identity Management Prozesses und hilft Ihnen bei Auswahl und Integration geeigneter Werkzeug-Unterstützung als Teil eines aktiven Risikomanagements für Ihr Unternehmen.

ConSecur wird Ihnen bei der Einführung eines Informationssicherheits-Management behilflich sein. Wenn Ihre IT-Organisation nach ITIL strukturiert ist, passen wir für Sie Prozessschnittstellen an und sorgen für eine Umsetzung in die Praxis. Überzeugen Sie sich und lesen Sie in unserem White Paper mehr darüber, wie der ISM-Prozess in andere ITIL-Prozesse eingreift!

© by ConSecur