Integriertes Management System
mit ISO/IEC 20000-1 und ISO/IEC 27001
Die Überschneidungen zwischen einem Information Security Management System (ISMS) und einem Service Management System (SMS) sind so groß, dass viele Organisationen dazu übergehen, beide Managementsysteme als Integriertes Management System (IMS) zu betreiben. Im CycleSEC Blog erklären wir, wie das funktioniert und worauf Sie dabei achten müssen.
Drei internationale Standards
Die Anforderungen an ein ISMS sind im ISO-Standard ISO/IEC 27001 beschrieben, der von zahlreichen Standards der 27000er-Familie ergänzt wird. Die Anforderungen an ein Service Management System (SMS) findet man in der Norm ISO/IEC 20000-1, die sich an den Prozessbeschreibungen der IT Infrastructure Library (ITIL) ausrichtet und diese komplementär ergänzt. In ISO/IEC 27013 schließlich gibt die ISO Hilfestellungen zur Integration der beiden Managementsysteme.
Unser Tipp für Power User: Die Normen-Flatrate von Beuth
Der Beuth-Verlag verkauft die ISO/IEC-Normen nicht nur einzeln, sondern auch in verschiedenen Normen-Flatrates. 25 oder 50 ISO/IEC-Normen erhält man aktuell zum Fixpreis von 1490 EUR bzw. 2790 EUR. So erhält man die Einzelnorm für unter 60 EUR.
Security Management in ISO/IEC 20000-1
Während 27001 sich in vollem Umfang mit Security Management beschäftigt, spielt das in 20000-1 eine Nebenrolle. In Abschnitt 6.6 des Service Management Standards werden die folgenden Aspekte angesprochen und weiter detailiert:
6.6.1 Information Security Policy
6.6.2 Information Security Controls
6.6.3 Information Security Changes und Incidents
ISO/IEC 27001 als Baustein für ISO/IEC 20000-1 6.6
Diese Punkte und die in diesen Abschnitten zusätzlich angesprochenen Aspekte wie ein Management vorhandener Risiken sind in einem ISMS nach ISO/IEC 27001 bereits abgedeckt. Hierbei wurde im Feld 1.1 das ISMS nach ISO/IEC 27001 eingesetzt. Unter der Motorhaube liefert das ISMS mindestens die oben genannten Abschnitte der ISO/IEC 20000-1 und modelliert die dort geforderten Prozesse.
ISMS in der ISO/IEC 20000-1
In einem Prozessdiagramm für das Information Security Management lässt sich das wie folgt darstellen:
ISMS Überblick nach ISO/IEC 20000-1
Die linke Grafik wäre wie folgt zu ergänzen:
Je nach Ausgestaltung und Zielsetzung ist zusätzlich noch eine geeignete Schnittstelle zwischen Change Management und Problem-Management des SMS zu definieren. Haben Sie in Ihrer Organisation bereits ein ISMS in Betrieb, wird es Ihnen leicht fallen, die vorhandenen Prozesse an die Anforderungen des Service Managements anzupassen.
Integration beider Ansätze mit ISO/IEC 27013
Wer nun beide Welten in einem integrierten Ansatz zusammenführen möchte, kann dabei auf die standardisierte Vorgehensweise der ISO/IEC 27013 zurückgreifen. Sie gibt Hilfestellung beide Welten besser zu verstehen. Neben einer Kreuzreferenztabelle zwischen einzelnen Abschnitten beider Standards werden auch Unterschiede und Gemeinsamkeiten im jeweiligen Vokabular aufgezeigt.
So verwenden beide Standards unterschiedliche Verfügbarkeitsbegriffe (Availability vs. Accessibility) und auch die Verwendung des Begriffs Incidents erfolgt mit großen Unterschieden. Was in der ISO/IEC 27001 als Incident bezeichnet wird, ist in ISO/IEC 20000-1 ein Information Security Incident. Was in der ISO/IEC 20000-1 hingegen als Incident bezeichnet wird, muss nicht unbedingt auch in der ISO/IEC 27001 ein Incident sein.
Grundsätzliche Anwendungsfälle
Nicht immer haben Organisationen allerdings bereits ein ISMS in Betrieb, wenn sie über die Einführung eines Service Managements nachdenken. In den meisten Fällen sollte es eher umgekehrt sein, oder es ist weder ein standardkonformes Service Management noch ein ISMS im Betrieb. Daher kann man grundsätzlich die folgenden drei Anwendungsfälle unterscheiden:
Keiner der beiden Standards wird angewendet.
Einer der beiden Standards wird angewendet – ISO/IEC 20000-1 oder ISO/IEC 27001
Beide Standards werden angewendet, die Management Systeme sind aber nicht aufeinander abgestimmt.
Ergänzend sollte man bedenken, dass man auch im ersten Fall nie „auf der grünen Wiese“ beginnt. Es gibt immer ein gewisses Maß an vorhandenen Prozessen, selbst wenn diese (noch) nicht formal eingeführt und dokumentiert wurden. In ISO/IEC 27013 werden diese vorhanden Prozesse als „Ad-Hoc Management Arrangements“ bezeichnet.
Abweichungen beim Scope
Ein weiterer wichtiger Punkt sind die Unterschiede im Geltungs- und Wirkungsbereich der beiden Normen. ISO/IEC 20000-1 befasst sich mit Design, Transition, Delivery und Verbesserung von Services und definiert hierfür Service Anforderungen, Policies, Prozesse und so weiter. Der Scope von ISO/IEC 20000-1 liegt dann bei den Services, die dem Service Management unterliegen sollen. Die Herstellung von Informationssicherheit spielt jedoch auch an Stellen einer Organisation eine Rolle, an denen keine Services erbracht werden. In der Folge bedeutet das, dass man zwar ISO/IEC 27001 für den gleichen Scope implementieren kann, der auch für ISO/IEC 20000-1 gilt, nicht jedoch umgekehrt. Solange es sich bei der betroffenen Organisation nicht vollständig um einen Service Provider handelt, wird der ISO/IEC 27001 Scope in aller Regel weiter gefasst sein.
Herausforderungen bei der Integration
Wie wir bereits dargestellt haben, sieht man sich im Rahmen der Integration der beiden Welten zunächst mit unterschiedlichen Begriffswelten konfrontiert. Aber auch andere Punkte werden aus unterschiedlichen Blickwinkeln betrachtet. Hierzu zählen:
Benutzung und Bedeutung des Asset-Begriffs (Werte)
Design und Transition von Services
Risiko Assessment und Management
Risikoakzeptanzkriterien
Incident und Problem Management
Change Management
Synergien beider Welten
Neben diesen Herausforderungen gibt es aber auch eine ganze Reihe von Überschneidungen, die die eigentliche Motivation für eine Integration der beiden Managementsystem sind. Hierzu zählen:
Benutzung des Plan-Do-Check-Act Zykluses
Service Level Management und Reporting
Management Commitment
Capacity Management (Verfügbarkeit)
Continuity Management
Management von Zulieferern (third party)
Configuration Management
Release Management
Finanzielle Aspekte
Fazit
Mit einem funktionierenden ISMS lassen sich die Service Management Anforderungen der ISO/IEC 20000-1 (und von ITIL) mit überschaubarem Aufwand realisieren. Aber auch die Implementierung eines ISMS wird von vorhandenen Teilen des Service Managements profitieren.
So wird beispielsweise die Configuration Management Database (CMDB) eine ergiebige Informationsquelle für das ISMS sein. Auch ein bereits etabliertes Dokumenten oder Change Management erspart bei der Ausgestaltung eines ISMS viel Arbeit. So werden Synergien erzielt und sich überschneidende Zuständigkeiten mit einhergehender Doppelarbeit vermieden.
Auf diese Weise knüpft ein IMS Verbindungen zwischen der Service Delivery der IT und dem ISMS Team, die sonst nur schwer aufzubauen gewesen wären.