Information Technology Reference
In-Depth Information
Implementieren (Implement)
Voraussetzung für eine erfolgreiche Implementierung sind eine aktuelle und den Anfor-
derungen entsprechende Information Security Policy sowie die deutliche und verlässliche
Unterstützung durch das Management.
Die zuvor deinierten Maßnahmen werden in dieser Phase implementiert und die Mitarbeiter
mit ihnen vertraut gemacht sowie bei Bedarf ausgebildet. Ein funktionierendes Marketing
ist für Maßnahmen innerhalb der IT-Sicherheit von besonderer Bedeutung, da mehr Sicher-
heit häuig auch eine Einbuße von Komfort bedeutet. Mitarbeiter sind also vom Nutzen der
Maßnahmen zu überzeugen, damit Letztere akzeptiert und verlässlich umgesetzt werden.
Im Rahmen der Implementierung muss gilt es sicherzustellen, dass die geplanten Maß-
nahmen, Prozesse und Tools funktionieren und entsprechend den Anforderungen aus der
Information Security Policy arbeiten. Die Erkennung von Security Incidents spielt für die
Wirksamkeit der deinierten Maßnahmen eine besondere Rolle. Nur wenn Security Incidents
vom Incident Management auch als solche erkannt und klassiiziert werden, können die im
Information Security Management deinierten Maßnahmen greifen.
Evaluieren (Evaluate)
Diese Phase befasst sich mit der Überwachung der Maßnahmen bezüglich der Compliance
zur Information Security Policy sowie den Anforderungen in SLA/OLA. Diese Überwachungs-
maßnahmen können je nach Bedarf unterschiedlicher Natur sein. Die einfachste Variante ist
ein Self Assessment zur Identiizierung von Schwachstellen in den deinierten Maßnahmen.
Im nächsten Schritt können interne Audits, z. B. durch die Revision, oder auch externe Audits
die Konformität zu Anforderungen, Normen und gesetzlichen Vorgaben sicherstellen.
Eine weitere, sehr efektive Möglichkeit der Evaluierung von Maßnahmen zur IT-Sicherheit
ist die Analyse autretender Security Incidents. Anhand der Häuigkeit und der Art der
Security Incidents lassen sich ot schnell und gezielt Hinweise auf Schwachstellen ableiten.
Um Security Incidents zuverlässig erkennen zu können, gehört zu den Aufgaben des ISM
die Deinition klarer Kriterien und deren Bereitstellung an die Support-Organisation (z. B.
den Service Desk).
Plegen (Maintain)
Im Rahmen eines kontinuierlichen Verbesserungszyklus werden in dieser Phase die Maß-
nahmen entsprechend den Anforderungen überprüt, weiterentwickelt und ggf. neuen
Anforderungen angepasst. Ein Ergebnis der kontinuierlichen Verbesserung kann neben der
Anpassung der Maßnahmen auch die Weiterentwicklung der Vereinbarungen bezüglich der
IT-Sicherheit in den SLA und OLA sein.
Als Rahmen für den kontinuierlichen Verbesserungsprozess lässt sich der Deming Cycle
(in der ISO 20000 auch PDCA-Zyklus genannt) nutzen. In einem kontinuierlichen Kreislauf
werden Ziele überprüt und Maßnahmen geplant (Plan), neue Maßnahmen implementiert
bzw. bestehende überarbeitet (Do), die Wirksamkeit überprüt (Check) und anschließend
Optimierungsmaßnahmen entwickelt (Act). Anschließend startet der nächste Durchlauf mit
einer neuen Planungsphase (Abbildung 4.12).
