IT-Sicherheitsmanagement

Der Begriff IT-Sicherheitsmanagement stammt aus dem Bereich der Informationstechnik. Er beschreibt einen fortlaufenden Prozess innerhalb einer Unternehmung oder Organisation zur Gewährleistung der IT-Sicherheit.[1.1]

Die Aufgabe des IT-Sicherheitsmanagements ist die systematische Absicherung eines informationsverarbeitenden IT-Verbundes. Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden. Die Auswahl und Umsetzung von IT-Sicherheitsmaßnahmen für die jeweiligen Geschäftsprozesse eines Unternehmens zählt zu den Tätigkeiten des IT-Sicherheitsmanagements. Eine normierte Vorgehensweise wird durch das Verwenden von IT-Standards ermöglicht.[2]

Folgende Standards werden dem IT-Sicherheitsmanagement zugerechnet:

• IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
  • Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel). Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren. Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
• ISO/IEC 27001: Norm für Informationsicherheitsmanagementsysteme (ISMS)
• ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
• BS 7799-1 und BS 7799-2: Vorgänger der ISO/IEC 27002 und ISO/IEC 27001

Weltweit am stärksten verbreitet ist die ISO/IEC-27001-Norm.

Weitere Standards mit IT-Sicherheitsaspekten sind:

• ITIL: Best-Practices-Sammlung für das IT-Servicemanagement
• ISO/IEC 20000: die ISO/IEC-Norm für IT-Servicemanagement
• BS 15000: Britischer Standard für IT-Servicemanagement
• COBIT: IT-Governance-Framework
• ISO/IEC 13335: ehemalige Normenreihe zum Sicherheitsmanagement in der Informations- und Kommunikationstechnik
• EN ISO 27799: Medizinische Informatik – Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (speziell für den Gesundheitsbereich)
• VdS 10005: Richtlinie für IT-Sicherheit im kleinen Mittelstand[3]
• Payment Card Industry Data Security Standard (PCI-DSS): Regelwerk für die Abwicklung von Kreditkartentransaktionen
• die Benchmarks des Center for Internet Security
• diverse Federal Information Processing Standards (FIPS) und weitere des US National Institute of Standards and Technology (NIST)

Der Begriff des IT-Sicherheitsmanagements taucht erstmals mit der Veröffentlichung der Green Books im Jahre 1989 auf. Aus einem Teil der Green Books entwickelte sich die BS-7799-Norm für Informationssicherheit. Gleichwohl wurden bereits von amerikanischen Behörden in den 1970er Jahren Methoden für ein strukturiertes Vorgehen zur Absicherung gegen Bedrohungen der Informationssicherheit verwendet.[4] In den 1980er Jahren folgten im englischsprachigen Bereich einige Studien und Aufsätze zum Thema computer abuse and security und wie eine effektive Informationssicherheit durch organisatorische Maßnahmen in einem Unternehmen erreicht werden konnte.[5][6][7][8][9]

• Information Security Management System
• Security Engineering

1. ↑ Hofmann, Schmidt (Hrsg.): Masterkurs IT-Management. Grundlagen, Umsetzung und erfolgreiche Praxis für Studenten und Praktiker. 2., aktualisierte und erweiterte Auflage. Vieweg+Teubner, 2010, ISBN 978-3-8348-0842-4.
   1. ↑ S. 291
2. ↑ Kompass der IT-Sicherheitsstandards. (PDF; 912 kB) Leitfaden und Nachschlagewerk. BITCOM, DIN AK Sicherheitsmanagement, Arbeitsausschuss NIA-27, August 2009, S. 5, archiviert vom Original am 16. Dezember 2013; abgerufen am 16. Dezember 2013. 
3. ↑ VdS 10005: Richtlinie für IT-Sicherheit im kleinen Mittelstand. In: kiwiko-eg.com. 1. Februar 2020, abgerufen am 17. Oktober 2021 (deutsch). 
4. ↑ Zella G. Ruthberg, Robert G. McKenzie (Hrsg.): Audit and evaluation of computer security. Proceedings of the NBS invitational workshop, held at Miami Beach, Florida, March 22–24, 1977. U.S. Dept. of Commerce, National Bureau of Standards and for sale by the Supt. of Docs., U.S. Govt. Print. Off., 1977.
5. ↑ Detmar W. Straub: Computer abuse and security. Update on an empirical pilot study. In: ACM SIGSAC Review. 4, Nr. 2, 1986, S. 21–31
6. ↑ Data Processing Management Association (Hrsg.): Staffing Dedication to Security Redcues Computer Abuse New Study Discovers. In: Inside DPMA. 1987.
7. ↑ Detmar W. Straub: Organizational structuring of the computer security function. In: Computers & Security. 7, Nr. 2, 1988, S. 185–195.
8. ↑ Philip E. Fites, Martin P. J. Kratz, Alan F. Brebner: Control and security of computer information systems. Computer Science Press, 1989, ISBN 978-0-7167-8191-2
9. ↑ Detmar W. Straub: Effective IS Security. An Empirical Study. In: Information Systems Research. 1, Nr. 3, 1990, S. 255–276.