Information Technology Reference
In-Depth Information
Es ist jedoch nicht ausreichend, einfach deinierte Kennzahlen zu übernehmen. Details zur
richtigen Gestaltung von Zielen und Kennzahlen inden Sie in Kapitel 5.
4.1.10.6■Herausforderungen
Ot sind die Anforderungen aus dem Business Continuity Management nicht ausreichend
konkret formuliert, oder es existiert keine solche Planung. In diesem Fall ist es für den
Service Provider sehr schwer, die richtigen Maßnahmen zu trefen, da er über die Vorgaben
nur Vermutungen anstellen kann. Hier empiehlt es sich, gemeinsam mit dem Business die
konkreten Vorgaben für das ITSCM zu deinieren.
4.1.11■Information Security Management
4.1.11.1■Ziele
Ziel des Information Security Management (ISM) ist die Ausrichtung des Niveaus der IT-
Sicherheit an den Anforderungen des Business. Risiken bezüglich der Informationssicherheit
sollen identiiziert und adäquate Maßnahmen zum Management dieser Risiken etabliert
werden. Die zentralen Ziele des ISM lassen sich unter drei Schlagworten zusammenfassen:
Verfügbarkeit (Availability):
Informationen sind verfügbar und nutzbar, wenn sie benötigt
werden.
Vertraulichkeit (Conidentiality):
Informationen sind vor unautorisiertem Zugrif geschützt.
Integrität (Integrity):
Informationen sind vor Manipulationen geschützt.
4.1.11.2■Begrife
Information Security Policy
Die Grundlage für alle Aktivitäten des Information Security Management bildet eine über-
greifende Information Security Policy. Sie enthält die aus den Geschätsanforderungen abge-
leiteten Zielvorgaben für das ISM und bedarf einer klaren Unterstützung des Managements.
Für die Regelung speziischer Themen wird die allgemeine Policy ergänzt durch eine Reihe
speziischer Policies. Beispiele für speziische Policies sind:
Policy für Zugrifsrechte und Umgang mit Passwörtern
E-Mail Policy
Internet und Remote Access Policy
Antivirus Policy
Policy zur Klassiizierung von Informationen
Policy für Lieferanten und Provider
Neben der Unterstützung durch das Management ist die Kommunikation dieser Policy die
Basis für ein funktionierendes Security Management. Um die Aktualität der Informationen in
den Policies zu gewährleisten, sollten diese regelmäßig (mindestens jährlich) einem Review
unterzogen und bei Bedarf angepasst werden.
