Beinahe täglich kann man den Medien neue Meldungen über problematiken beim Schutz sensibler Daten, über Hackerangriffe auf Sicherheitslücken bei Banken etc. entnehmen. So wurde in jüngster Vergangenheit sogar die Bundesregierung im Vorfeld des Besuches der Bundeskanzlerin, Frau Dr. Merkel, in China, vermeintlich Opfer
solcher Angriffe.
In Zeiten einer stark gestiegenen Relevanz der Informationstechnik sowohl für öffentliche Einrichtungen (Behörden), als auch für privatwirtschaftliche Unternehmungen, gebührt dem Schutz vor unberechtigtem Zugriff auf Daten sowie der Unversehrtheit von Daten
und Systemen eine besondere Aufmerksamkeit. Diese Organisationen „sind in immer höherem Maße auf eine funktionierende IT angewiesen“, denn schon ein temporärer Ausfall kann unter Umständen Existenz bedrohende Auswirkungen haben.
Dabei geht es nicht nur um technische Gesichtspunkte, um externe Gefahren zu minimieren, sondern vielmehr um ein Zusammenspiel aus technischen, personellen, organisatorischen, rechtlichen und infrastrukturellen Aspekten in einem umfassenden Sicherheitskonzept, welches einen Schutz gegenüber externen und internen Gefahren
ermöglicht. In einem sog. Informationssicherheitsmanagementsystem, kurz ISMS, werden diese Aspekte miteinander verbunden. Bei der Implementierung und dem Betrieb eines solchen kann sich die Organisation an diversen Standards und Kriterienwerken zur Informationssicherheit orientieren.
Hier liegt der Schwerpunkt der vorliegenden Arbeit. Es soll untersucht werden, inwiefern ausgewählte Standards ökonomisch bedeutsame Angaben hinsichtlich der Implementierung eines ISMS beinhalten.
Dabei gilt es, zunächst im folgenden Kapitel einige relevante Begrifflichkeiten zu definieren und ggf. voneinander abzugrenzen.
Das dritte Kapitel bildet den Kern der Arbeit, in welchem exemplarisch an Hand von drei ausgewählten Standards zur Informationssicherheit überprüft werden soll, inwiefern diese Aussagen und Informationen zur Implementierung von ISMS enthalten. Darüber hinaus wird neben den eigentlichen Standards auch wissenschaftliche Sekundärliteratur zur Analyse hinzugezogen, um den Überblick über die Gestaltungselemente fundierter darlegen zu können. Das Kapitel wird abgerundet mit einer zusammenfassenden
Konzeptionalisierung der herausgearbeiteten Erkenntnisse.
Abschließend wird im vierten Kapitel ein Fazit zu den vorstehenden Ausarbeitungen gezogen [...].
Inhaltsverzeichnis
1 EINLEITUNG
2 BEGRIFFLICHKEITEN UND BEGRIFFSABGRENZUNGEN
2.1 INFORMATIONSSICHERHEIT
2.2 INFORMATIONSSICHERHEITSMANAGEMENT
2.2.1 Funktion und Ziel des Informationssicherheitsmanagement
2.2.2 Überblick über die Standards
3 GESTALTUNGSELEMENTE DER INFORMATIONSSICHERHEITSMANAGEMENTSYSTEME IN AUSGEWÄHLTEN STANDARDS
3.1 BESTANDTEILE VON INFORMATIONSSICHERHEITSMANAGEMENTSYSTEMEN
3.2 VORGEHENSWEISE BEI DER UNTERSUCHUNG DER AUSGEWÄHLTEN STANDARDS
3.3 DIE ISO/IEC 17799 UND ISO/IEC 27001 DER INTERNATIONAL ORGANIZATION FOR STANDARDIZATION (ISO)
3.3.1 Art und Funktionsweise
3.3.2 Vorgaben und Hinweise zur Implementierung eines ISMS nach ISO/IEC 17799 und ISO/IEC 27001
3.4 DIE IT INFRASTRUCTURE LIBRARY (ITIL) VON CENTRAL COMPUTER AND TELECOMMUNICATION AGENCY (CCTA) UND OFFICE OF GOVERNMENT COMMERCE (OGC)
3.4.1 Art und Funktionsweise
3.4.2 Vorgaben und Hinweise zur Implementierung eines ISMS nach ITIL
3.5 DIE CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY (COBIT) DER INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA)
3.5.1 Art und Funktionsweise
3.5.2 Vorgaben und Hinweise zur Implementierung eines ISMS nach COBIT
3.6 ZUSAMMENFASSENDE KONZEPTIONALISIERUNG
4 FAZIT UND AUSBLICK
Zielsetzung & Themen
Die Arbeit untersucht, inwieweit ausgewählte internationale Standards zur Informationssicherheit konkrete und ökonomisch bedeutsame Angaben für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) in Organisationen bieten. Die zentrale Forschungsfrage fokussiert dabei auf die Gestaltungselemente dieser Standards und deren Anwendbarkeit in der Praxis.
- Grundlagen der Informationssicherheit und des ISMS
- Analyse der ISO/IEC 17799 und ISO/IEC 27001
- Untersuchung des ITIL-Frameworks als de-facto-Standard
- Evaluation des COBIT-Frameworks für das IT-Management
- Synoptische Gegenüberstellung und Harmonisierung der Ansätze
Auszug aus dem Buch
3.1 Bestandteile von Informationssicherheitsmanagementsystemen
Ein Informationssicherheitsmanagementsystem, als „der Teil des Managementsystems, der sich mit Informationssicherheit befasst“, besteht aus grundlegenden Komponenten, welche als Bausteine in der nachfolgenden Abbildung dargestellt werden:
Das ISMS gibt dabei vor, auf welche Weise und mit welchem Instrumentarium die die Informationssicherheit betreffenden Aufgaben und Aktivitäten durch das Management nachvollziehbar gelenkt werden, d. h. wie Planung, Einsatz, Durchführung, Überwachung und Verbesserung erfolgen sollen.
Zusammenfassung der Kapitel
1 EINLEITUNG: Die Einleitung beleuchtet die steigende Relevanz der IT-Sicherheit angesichts wachsender Bedrohungen und definiert das Ziel der Arbeit, Standards hinsichtlich ihrer Implementierungshinweise für ein ISMS zu untersuchen.
2 BEGRIFFLICHKEITEN UND BEGRIFFSABGRENZUNGEN: Dieses Kapitel klärt die wesentlichen Begriffe Informationssicherheit und Informationssicherheitsmanagement (ISM) und grenzt diese voneinander sowie von der IT-Sicherheit ab.
3 GESTALTUNGSELEMENTE DER INFORMATIONSSICHERHEITSMANAGEMENTSYSTEME IN AUSGEWÄHLTEN STANDARDS: Im Kern der Arbeit werden die Standards ISO/IEC 17799/27001, ITIL und COBIT hinsichtlich ihrer Art, Funktionsweise und ihrer konkreten Vorgaben für die Implementierung eines ISMS analysiert und konzeptionalisiert.
4 FAZIT UND AUSBLICK: Das Fazit fasst zusammen, dass kein Standard allein alle Anforderungen abdeckt und empfiehlt eine Kombination der Ansätze, während der Ausblick auf zukünftige Harmonisierungstendenzen und kritische Gegenstimmen verweist.
Schlüsselwörter
Informationssicherheitsmanagementsystem, ISMS, ISO/IEC 27001, ISO/IEC 17799, ITIL, COBIT, IT-Sicherheit, Implementierung, Risikomanagement, Best Practices, Prozessorientierung, IT-Management, Qualitätsmanagement, Compliance, Standardisierung.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit befasst sich mit der Implementierung von Informationssicherheitsmanagementsystemen (ISMS) in Organisationen und prüft, welche Hilfestellungen gängige internationale Standards dazu bieten.
Was sind die zentralen Themenfelder der Analyse?
Die Arbeit vergleicht die Standards ISO/IEC 17799/27001, ITIL und COBIT im Kontext von IT-Sicherheit, Management-Strukturen und der konkreten praktischen Umsetzung.
Was ist das primäre Ziel der Untersuchung?
Das Ziel ist die Identifikation von Gestaltungselementen in den gewählten Standards, die eine ökonomisch sinnvolle Implementierung eines ISMS unterstützen.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit nutzt eine Literaturanalyse sowie eine synoptische Gegenüberstellung der Standards basierend auf Kriterien wie Fokus, Managementverankerung und Konsistenz.
Was wird im Hauptteil der Arbeit behandelt?
Im Hauptteil werden die Bestandteile eines ISMS erläutert und die drei ausgewählten Frameworks einzeln auf ihre spezifischen Aussagen zur ISMS-Implementierung hin untersucht.
Welche Schlüsselwörter charakterisieren diese Arbeit?
Wichtige Begriffe sind ISMS, ISO/IEC 27001, ITIL, COBIT, Implementierung, Risikomanagement und Best Practices.
Wie unterscheidet sich die Zielsetzung von COBIT gegenüber den anderen Standards?
Während ISO-Standards sich stark auf die sicherheitstechnischen Aspekte und das ISMS-Management konzentrieren, legt COBIT den Fokus auf eine umfassende IT-Governance und die Ausrichtung der IT-Prozesse an allgemeinen Unternehmenszielen.
Warum wird im Fazit eine Kombination der Standards empfohlen?
Da kein einzelner Standard alle Anforderungen an ein effektives ISMS vollumfänglich und ohne Einschränkungen abdeckt, wird durch eine Kombination eine synergetische Nutzung der jeweiligen Stärken erreicht.
Welche kritische Sichtweise wird zum Schluss erwähnt?
Es wird auf die Position von Federrath hingewiesen, der den „Mainstream-Ansatz“ der Best-Practices kritisiert und für mehr Heterogenität in Sicherheitskonzepten plädiert.
- Quote paper
- Diplom-Ökonom, Diplom-Verwaltungswirt (FH) Ralf Lindert (Author), 2007, Informationssicherheitsmanagementsysteme (ISMS), Munich, GRIN Verlag, https://www.hausarbeiten.de/document/169017
