Standards mit IT-Sicherheitsaspekten
Zu den Standards mit IT-Sicherheitsaspekten zählen insbesondere ITIL, ISO/IEC 20000, COBIT und ISAE.
IT Infrastructure Library (ITIL)
Die IT Infrastructure Library (ITIL) ist ein Best Practices-Referenzmodell für IT-Serviceprozesse, das sich mittlerweile als weltweit akzeptierter De-facto-Standard für das IT-Service-Management (ITSM) etabliert hat.
Das ITSM umfasst im Wesentlichen die Gestaltung, die Implementierung und das Management wesentlicher Steuerungsprozesse in der IT. Das gesammelte ITIL-Wissen ist in einer Bibliothek von rund 40 Publikationen verfügbar. Der Standard unterstützt dabei auch die Integration der Informationssicherheit in die Geschäftsprozesse und beschreibt die Zusammenhänge zwischen IT-Service-Management und Sicherheitsmanagement. Der ITIL-Band zum IT-Security-Management verweist dabei konkret auf die Maßnahmen der ISO/IEC 27001.
ISO/IEC 20000 – IT-Service-Management
Die ISO/IEC 20000 ist eine international anerkannte Norm zum IT-Service-Management und spezifiziert die Anforderungen an das ITSM.
Sie basiert auf den Prozessbeschreibungen der ITIL und ist in Form von folgenden Subnormen verfügbar:
- ISO/IEC 20000-1 – Information technology –Service management – Part 1:
Service management system requirements - ISO/IEC 20000-2 – Information technology – Service management – Part 2:
Guidance on the application of service management systems - ISO/IEC TR 20000-3 – Information technology – Service management – Part 3: Guidance on scope definition and applicability of ISO/IEC 20000-1
- ISO/IEC TR 20000-4 – Information technology – Service management – Part 4: Process reference model
- ISO/IEC TR 20000-5 – Information technology – Service management – Part 5: Exemplar implementation plan for ISO/IEC 20000-1
Control Objectives for Information and Related Technology (COBIT)
Control Objectives for Information and Related Technology (COBIT) ist das international anerkannte Rahmenwerk zur IT-Governance, das von der Information Systems Audit and Control Association (ISACA) entwickelt wurde.
Es enthält alle Aspekte des IT-Einsatzes (von der Planung bis hin zur Entsorgung) und berücksichtigt dabei eine ganzheitliche Sicht auf die IT. Wesentliche Elemente von COBIT sind die Ausrichtung der IT auf die Geschäftstätigkeit, die Nutzenmaximierung, ein angemessenes Risikomanagement IT-bezogener Risiken, der wirtschaftliche Einsatz von IT-Ressourcen und die Leistungsmessung.
International Standard on Assurance Engagements (ISAE) No. 3402
ISAE 3402 ist ein international anerkannter Audit-Standard, welcher durch die Organisation International Auditing and Assurance Standards Board (IAASB) herausgegeben und verwaltet wird.
ISAE 3402 bezieht sich auf das interne Kontrollsystem sowie auf den ordnungsgemäßen Betrieb von Service-Prozessen von Service-Organisationen, wie beispielsweise von Rechenzentren und Application Service-Providern (ASP).
Der Standard unterscheidet zwischen Typ 1- und Typ 2-Audits.
- Typ 1: beurteilt das Design der Kontrollen
- Typ 2: beinhaltet zusätzlich eine Prüfung der Kontrollwirksamkeit
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria