IT-Sicherheitsmanagement

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Der Begriff IT-Sicherheitsmanagement stammt aus dem Bereich der Informationstechnik. Er beschreibt einen fortlaufenden Prozess innerhalb einer Unternehmung oder Organisation zur Gewährleistung der IT-Sicherheit.[1]:291

Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes. Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden. Die Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens zählt zu den Tätigkeiten des IT-Sicherheitsmanagements. Eine normierte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.[2]

IT-Standards[Bearbeiten | Quelltext bearbeiten]

Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet:

  • IT-Grundschutz des Bundesamt für Sicherheit in der Informationstechnik (BSI)
    • Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel). Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren. Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
  • ISO/IEC 27001: Norm für Informationsicherheitsmanagementsysteme (ISMS)
  • ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
  • BS 7799-1 und BS 7799-2: Vorgänger der ISO/IEC 27002 und ISO/IEC 27001

Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm.

Weitere Standards mit IT-Sicherheitsaspekten sind:

Begriffsherkunft[Bearbeiten | Quelltext bearbeiten]

Der Begriff des IT-Sicherheitsmanagements taucht erstmals mit der Veröffentlichung der Green Books im Jahre 1989 auf. Aus einem Teil der Green Books entwickelte sich die BS-7799-Norm für Informationssicherheit. Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet.[3] In den 1980er Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema computer abuse and security und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte.[4][5][6][7][8]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Hofmann, Schmidt (Hrsg.): Masterkurs IT-Management. Grundlagen, Umsetzung und erfolgreiche Praxis für Studenten und Praktiker. 2., aktualisierte und erweiterte Auflage. Vieweg+Teubner, 2010, ISBN 978-3-8348-0842-4.
  2. Kompass der IT-Sicherheitsstandards. Leitfaden und Nachschlagewerk. BITCOM, DIN AK Sicherheitsmanagement, Arbeitsausschuss NIA-27, August 2009, S. 5, abgerufen am 16. Dezember 2013 (PDF; 912 kB).
  3. Zella G. Ruthberg, Robert G. McKenzie (Hrsg.): Audit and evaluation of computer security. Proceedings of the NBS invitational workshop, held at Miami Beach, Florida, March 22–24, 1977. U.S. Dept. of Commerce, National Bureau of Standards and for sale by the Supt. of Docs., U.S. Govt. Print. Off., 1977.
  4. Detmar W. Straub: Computer abuse and security. Update on an empirical pilot study. In: ACM SIGSAC Review. 4, Nr. 2, 1986, S. 21–31
  5. Data Processing Management Association (Hrsg.): Staffing Dedication to Security Redcues Computer Abuse New Study Discovers.. In: Inside DPMA. 1987.
  6. Detmar W. Straub: Organizational structuring of the computer security function. In: Computers & Security. 7, Nr. 2, 1988, S. 185–195.
  7. Philip E. Fites, Martin P. J. Kratz, Alan F. Brebner: Control and security of computer information systems.. Computer Science Press, 1989, ISBN 978-0-7167-8191-2
  8. Detmar W. Straub: Effective IS Security. An Empirical Study. In: Information Systems Research. 1, Nr. 3, 1990, S. 255–276.