Der Begriff IT-Sicherheitsmanagement stammt aus dem Bereich der Informationstechnik. Er beschreibt einen fortlaufenden Prozess innerhalb einer Unternehmung oder Organisation zur Gewährleistung der IT-Sicherheit.

Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes. Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden. Die Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens zählt zu den Tätigkeiten des IT-Sicherheitsmanagements. Eine normierte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.

IT-Standards

Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet:

  • IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
    • Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel). Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren. Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
  • ISO/IEC 27001: Norm für Informationsicherheitsmanagementsysteme (ISMS)
  • ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
  • BS 7799-1 und BS 7799-2: Vorgänger der ISO/IEC 27002 und ISO/IEC 27001

Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm.

Weitere Standards mit IT-Sicherheitsaspekten sind:

  • ITIL: Best-Practices-Sammlung für das IT-Servicemanagement
  • ISO/IEC 20000: die ISO/IEC-Norm für IT-Servicemanagement
  • BS 15000: Britischer Standard für IT-Servicemanagement
  • COBIT: IT-Governance-Framework
  • ISO/IEC 13335: ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik
  • EN ISO 27799: Medizinische Informatik – Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich)
  • VdS 10005: Richtlinie für IT-Sicherheit im kleinen Mittelstand
  • Payment Card Industry Data Security Standard (PCI-DSS): Regelwerk für die Abwicklung von Kreditkartentransaktionen
  • die Benchmarks des Center for Internet Security
  • diverse Federal Information Processing Standards (FIPS) und weitere des US National Institute of Standards and Technology (NIST)

Begriffsherkunft

Der Begriff des IT-Sicherheitsmanagements taucht erstmals mit der Veröffentlichung der Green Books im Jahre 1989 auf. Aus einem Teil der Green Books entwickelte sich die BS-7799-Norm für Informationssicherheit. Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet. In den 1980er Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema computer abuse and security und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte.

Siehe auch

  • Information Security Management System
  • Security Engineering

Einzelnachweise


ITSicherheit Produkte/Leistungen IQoptimize Software AG

ITSicherheit und Maßnahmen evoniersoftware.de

IT Sicherheit Mi Marketing

IT Sicherheit für Unternehmen Jetzt Ihre Daten & Systeme sichern

ITSicherheit Stuttgart pirenjo.IT ITSystemhaus im Raum Stuttgart