Information Security Management
Aus Wiki Itil
(ISM) [Information Security Management (ISM)] - (Service Design)
Einleitung
Information Security Management ist der Prozess, über den ein angemessener, definierter Grad an Sicherheit für die Informationen und IT Services erreicht werden soll. Im IT Service Management nach ITIL wird dieser Grad von den Kunden des IT Services oder von gesetzlichen Anforderungen definiert und vom Anbieter zugesichert. Damit wird dieser Grad an Sicherheit zum vereinbarten Bestandteil des Service Level Agreement.
Der dadurch angestoßene Information Security Management-Prozess hat die Aufgabe, durch kontinuierliche Planung, Implementierung und Bewertung von Sicherheitsmaßnahmen das definierte Niveau an IT-Sicherheit aufrechtzuerhalten. Sicherheitsmaßnahmen betreffen das Personal, die Organisation, die Infrastruktur und die Technologie. Eine weitere Aufgabe ist die angemessene Reaktion auf Sicherheitsverletzungen („Security Incidents“).
Zielsetzung:
Die Ziele des Security Management sind:
- Vermeidung von Sicherheitsverletzungen durch ein klares und sämtliche Abhängigkeiten berücksichtigendes Security Management
- angemessene und planvolle Reaktion auf Sicherheitsverletzungen
- Zusammenführung der Sicherheitsanforderungen und geschäftlichen Anforderungen
- Erstellung des Security-Plans u. a. zur Dokumentation der Anforderungen
- Festlegung von Toleranzen zur Abgrenzung eines vertretbaren Restrisikos
- Berücksichtigung von strategischen, taktischen und operativen Rahmenbedingungen
Prinzipien des Information Security Management:
- Confidentiality (Vertraulichkeit von Daten)
- Integrity (Integrität, Vollständigkeit und Richtigkeit von Daten)
- Availability (jederzeitige Verfügbarkeit von Daten)
