Skip to main content

IS-Management-Team

Was ist ein IS-Management-Team?

Das IS-Management-Team befasst sich mit der Implementierung und Überwachung einer vordefinierten Sicherheitsstufe für die IT-Umgebung. Insbesondere werden Bereiche wie Vertraulichkeit, Integrität und Verfügbarkeit angesprochen. Die Risikoanalyse als Ausgangspunkt hilft bei der Definition von Kundenanforderungen auf Sicherheitsniveau. Eine interne, minimale Sicherheitsanforderung wird als IT-Grundsatz bezeichnet. Zusätzliche Sicherheitsanforderungen des Kunden sind individuell zu definieren.

Ziel des IS-Management-Team’s

Ziel des IS-Management-Team’s ist die Einführung und Aufrechterhaltung eines erforderlichen Sicherheitsniveaus im Sinne von Gesetzen, Verträgen oder anderen Vereinbarungen. Des Weiteren trägt das IS-Management-Team zu einem integrierten Service Management-Ansatz bei, indem die folgenden Aktivitäten ausgeführt werden:

  • Ermittlung und Definition der internen und externen Sicherheitsanforderungen
  • Planung von Sichterheitsverfahren
  • Erstellen eines Sicherheitskapitels und in der Servicebeschreibung
  • Verwaltung der Implementierung von Sicherheitsmaßnahmen
  • Bewertung der Sicherheitsverfahren und Sicherheitsmaßnahmen
  • Verbesserung der Sicherheit

Rollen und Funktionen

Security Process Owner
Er ist der Initiator des Prozesses, verantwortlich für die Festlegung der strategischen Ziele des Prozesses und die Zuweisung aller erforderlichen Prozess-Ressourcen.

Security Process Manager
Das IS-Management-Team wird vom Security Manager gesteuert. Der Security Process Manager kann Aufgaben an Fachpersonal delegieren. Sollte der Einsatz von externem Personal erforderlich sein, ist eine Genehmigung des Budgets durch die verantwortliche Person notwendig.

IT-Management-Team
Dieses Team führt obligatorische Aufgaben für den Security Process Manager aus.

Sicherheits-Auditor
Der Sicherheits-Auditor (Security Auditor) bietet die Überprüfung von Sicherheitsrichtlinien, Prozessen und Tools an. Der Prüfer sollte eine externe und interne Ressource ändern, um eine unabhängige und zuverlässige Prüfung zu ermöglichen.

Informationsartefakte

Sicherheitsrichtlinie
Der Prozess hängt von allgemeinen Sicherheitsregeln ab. Darüber hinaus ist dieser Prozess für die permanente Verbesserung und Anpassung allgemeiner Sicherheitsrichtlinien und -regeln verantwortlich.

Erstellung des Sicherheitsplans

  • Sicherheitsplan-ID
  • Anforderer des Sicherheitsplans
  • Beschreibung des Sicherheitsplans
  • Sicherheitsplan-Agent
  • Inhaber des Sicherheitsplans
  • Service, der neu gestaltet werden muss
  • Dienstintigrität
  • Diensvertraulichkeit

Sicherheits-Übergangsaufzeichnung

  • Sicherheitstransaktions-ID
  • Anforderer für Sicherheitsübergänge
  • Beschreibung des Sicherheits-Übergangs
  • Sicherheitsübergang-Agent
  • Inhaber des Sicherheitsübergangs
  • Service: Von der Änderung betroffene Dienste
  • Konfigurationselemente: Von der Änderung betroffenes Cl

Durchführung der Sicherheits-Audits

  • Sicherheits-Audit-ID
  • Anforderer für die Sicherheits-Audit
  • Beschreibung der Sicherheits-Audit
  • Sicherheits-Audit-Agent
  • Inhaber der Sicherheits-Audits
  • Auditor zur Sicherheits-Audits
  • Dienst: Vom Sicherheits-Audit betroffene Dienste
  • Konfigurationselemente: Vom Sicherheits-Audit betroffenes Cl
  • Kunde: Kunde, der vom Sicherheits-Audit betroffen ist
  • Benutzer: Vom Sicherheits-Audit betroffener Benutzer
  • Experte/Spezialisten: Vom Sicherheits-Audit betroffene Experten/Spezialisten

Key Konzepte

Verfügbarkeit
Informationen und der Dienst müssen für berechtigte Benutzer zugänglich sein.

Integrität
Informationen dürfen nicht von unbefugten Benutzer geändert werden. Folgende Integritätsgrade sind möglich:

  • 0 = Es kann nicht nachgewiesen werden, ob die Integrität verletzt wurde.
  • 1 = Es kann nachgewiesen werden, ob die Integrität verletzt wurde.
  • 2 = Es kann nachgewiesen werden, ob die Integrität verletzt wurde und die Verletzung aufgehoben werden kann.

Vertraulichkeit
Informationen dürfen nicht für unbefugte Benutzer zugänglich sein. Folgende Vertraulichkeitsstufen sind möglich:

  • öffentlich: Informationen stehen allen zur Verfügung.
  • vertraulich: Informationen stehen nur autorisiertem Personal und zugewiesenen externen Partnern zur Verfügung.
  • geheim: nur für den internen Gebrauch. Informationen stehen nur autorisiertem Personal zur Verfügung.
  • streng geheim: Informationen stehen nur der Geschäftsleitung zur Verfügung.

Die Vertraulichkeitsstufen können erweitert oder angepasst werden.

Authentifizierung
Überprüfung der Identität eines Benutzers oder von Informationen.

Genehmigung
Methoden und Tools, mit denen festgelegt wird, ob Benutzer oder Informationen Zugriff auf andere Geräte oder Informationsquellen haben dürfen.

Schweregrad Levels
Der Schweregrad gibt an, wie wichtig ein Optimierungsvorschlag ist. Folgende Ebenen können definiert werden:

  • kritisch: Implementierung notwendig, einschließlich Änderungen – sobald wie möglich.
  • hoch: Implementierung notwendig, einschließlich Änderungen – binnen 2 Tagen.
  • niedrig: Implementierung notwendig, einschließlich Änderungen – binnen 7 Tagen.

Prozess

Kritische Erfolgsfaktoren definieren eine begrenzte Anzahl von Faktoren, die den Erfolg eines Prozesses beeinflussen. Für das IS-Management-Team können folgende Faktoren definiert werden:

  • Richtige Dimension der Sicherheit durch Vermeidung zu strenger oder zu lascher Sicherheit.
  • Managementunterstützung für Sicherheitsfragen.
  • Sicherheitsbewusstsein im Unternehmen.
  • Definition der Verantwortlichkeiten zwischen Sicherheitsimplementierung und Aktivitäten und Rollen.

Das IS-Management-Team unterstützt den Sicherheits-Manager die Faktoren zu überprüfen und Maßnahmen festzulegen, um den Prozesserfolg zu erreichen.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG

IS-Management-Team
Beitrag bewerten