Security is a process!

Integriertes Management System

mit ISO/IEC 20000-1 und ISO/IEC 27001

Die Überschneidungen zwischen einem Information Security Management System (ISMS) und einem Service Management System (SMS) sind so groß, dass viele Organisationen dazu übergehen, beide Managementsysteme als Integriertes Management System (IMS) zu betreiben. Im CycleSEC Blog erklären wir, wie das funktioniert und worauf Sie dabei achten müssen.

Drei internationale Standards

Die Anforderungen an ein ISMS sind im ISO-Standard ISO/IEC 27001 beschrieben, der von zahlreichen Standards der 27000er-Familie ergänzt wird. Die Anforderungen an ein Service Management System (SMS) findet man in der Norm ISO/IEC 20000-1, die sich an den Prozessbeschreibungen der IT Infrastructure Library (ITIL) ausrichtet und diese komplementär ergänzt. In ISO/IEC 27013 schließlich gibt die ISO Hilfestellungen zur Integration der beiden Managementsysteme.

Unser Tipp für Power User: Die Normen-Flatrate von Beuth

Der Beuth-Verlag verkauft die ISO/IEC-Normen nicht nur einzeln, sondern auch in verschiedenen Normen-Flatrates. 25 oder 50 ISO/IEC-Normen erhält man aktuell zum Fixpreis von 1490 EUR bzw. 2790 EUR. So erhält man die Einzelnorm für unter 60 EUR.

Mehr Informationen zur Normen-Flatrate ansehen…

Security Management in ISO/IEC 20000-1

Während 27001 sich in vollem Umfang mit Security Management beschäftigt, spielt das in 20000-1 eine Nebenrolle. In Abschnitt 6.6 des Service Management Standards werden die folgenden Aspekte angesprochen und weiter detailiert:

6.6.1 Information Security Policy

6.6.2 Information Security Controls

6.6.3 Information Security Changes und Incidents

ISO/IEC 27001 als Baustein für ISO/IEC 20000-1 6.6

Diese Punkte und die in diesen Abschnitten zusätzlich angesprochenen Aspekte wie ein Management vorhandener Risiken sind in einem ISMS nach ISO/IEC 27001 bereits abgedeckt. Hierbei wurde im Feld 1.1 das ISMS nach ISO/IEC 27001 eingesetzt. Unter der Motorhaube liefert das ISMS mindestens die oben genannten Abschnitte der ISO/IEC 20000-1 und modelliert die dort geforderten Prozesse.

ISMS in der ISO/IEC 20000-1

In einem Prozessdiagramm für das Information Security Management lässt sich das wie folgt darstellen:

ISM-Process

ISMS Überblick nach ISO/IEC 20000-1

Die linke Grafik wäre wie folgt zu ergänzen:

ISM-Process-with-ISMS

Je nach Ausgestaltung und Zielsetzung ist zusätzlich noch eine geeignete Schnittstelle zwischen Change Management und Problem-Management des SMS zu definieren. Haben Sie in Ihrer Organisation bereits ein ISMS in Betrieb, wird es Ihnen leicht fallen, die vorhandenen Prozesse an die Anforderungen des Service Managements anzupassen.

Integration beider Ansätze mit ISO/IEC 27013

Wer nun beide Welten in einem integrierten Ansatz zusammenführen möchte, kann dabei auf die standardisierte Vorgehensweise der ISO/IEC 27013 zurückgreifen. Sie gibt Hilfestellung beide Welten besser zu verstehen. Neben einer Kreuzreferenztabelle zwischen einzelnen Abschnitten beider Standards werden auch Unterschiede und Gemeinsamkeiten im jeweiligen Vokabular aufgezeigt.

So verwenden beide Standards unterschiedliche Verfügbarkeitsbegriffe (Availability vs. Accessibility) und auch die Verwendung des Begriffs Incidents erfolgt mit großen Unterschieden. Was in der ISO/IEC 27001 als Incident bezeichnet wird, ist in ISO/IEC 20000-1 ein Information Security Incident. Was in der ISO/IEC 20000-1 hingegen als Incident bezeichnet wird, muss nicht unbedingt auch in der ISO/IEC 27001 ein Incident sein.

Grundsätzliche Anwendungsfälle

Nicht immer haben Organisationen allerdings bereits ein ISMS in Betrieb, wenn sie über die Einführung eines Service Managements nachdenken. In den meisten Fällen sollte es eher umgekehrt sein, oder es ist weder ein standardkonformes Service Management noch ein ISMS im Betrieb. Daher kann man grundsätzlich die folgenden drei Anwendungsfälle unterscheiden:

Keiner der beiden Standards wird angewendet.

Einer der beiden Standards wird angewendet – ISO/IEC 20000-1 oder ISO/IEC 27001

Beide Standards werden angewendet, die Management Systeme sind aber nicht aufeinander abgestimmt.

Ergänzend sollte man bedenken, dass man auch im ersten Fall nie „auf der grünen Wiese“ beginnt. Es gibt immer ein gewisses Maß an vorhandenen Prozessen, selbst wenn diese (noch) nicht formal eingeführt und dokumentiert wurden. In ISO/IEC 27013 werden diese vorhanden Prozesse als „Ad-Hoc Management Arrangements“ bezeichnet.

Abweichungen beim Scope

Ein weiterer wichtiger Punkt sind die Unterschiede im Geltungs- und Wirkungsbereich der beiden Normen. ISO/IEC 20000-1 befasst sich mit Design, Transition, Delivery und Verbesserung von Services und definiert hierfür Service Anforderungen, Policies, Prozesse und so weiter. Der Scope von ISO/IEC 20000-1 liegt dann bei den Services, die dem Service Management unterliegen sollen. Die Herstellung von Informationssicherheit spielt jedoch auch an Stellen einer Organisation eine Rolle, an denen keine Services erbracht werden. In der Folge bedeutet das, dass man zwar ISO/IEC 27001 für den gleichen Scope implementieren kann, der auch für ISO/IEC 20000-1 gilt, nicht jedoch umgekehrt. Solange es sich bei der betroffenen Organisation nicht vollständig um einen Service Provider handelt, wird der ISO/IEC 27001 Scope in aller Regel weiter gefasst sein.

Herausforderungen bei der Integration

Wie wir bereits dargestellt haben, sieht man sich im Rahmen der Integration der beiden Welten zunächst mit unterschiedlichen Begriffswelten konfrontiert. Aber auch andere Punkte werden aus unterschiedlichen Blickwinkeln betrachtet. Hierzu zählen:

Benutzung und Bedeutung des Asset-Begriffs (Werte)

Design und Transition von Services

Risiko Assessment und Management

Risikoakzeptanzkriterien

Incident und Problem Management

Change Management

Synergien beider Welten

Neben diesen Herausforderungen gibt es aber auch eine ganze Reihe von Überschneidungen, die die eigentliche Motivation für eine Integration der beiden Managementsystem sind. Hierzu zählen:

Benutzung des Plan-Do-Check-Act Zykluses

Service Level Management und Reporting

Management Commitment

Capacity Management (Verfügbarkeit)

Continuity Management

Management von Zulieferern (third party)

Configuration Management

Release Management

Finanzielle Aspekte

Fazit

Mit einem funktionierenden ISMS lassen sich die Service Management Anforderungen der ISO/IEC 20000-1 (und von ITIL) mit überschaubarem Aufwand realisieren. Aber auch die Implementierung eines ISMS wird von vorhandenen Teilen des Service Managements profitieren.

So wird beispielsweise die Configuration Management Database (CMDB) eine ergiebige Informationsquelle für das ISMS sein. Auch ein bereits etabliertes Dokumenten oder Change Management erspart bei der Ausgestaltung eines ISMS viel Arbeit. So werden Synergien erzielt und sich überschneidende Zuständigkeiten mit einhergehender Doppelarbeit vermieden.

Auf diese Weise knüpft ein IMS Verbindungen zwischen der Service Delivery der IT und dem ISMS Team, die sonst nur schwer aufzubauen gewesen wären.

Veröffentlicht am

Foto des Autors

Dieser Beitrag kommt von

Sebastian Klipper

Sebastian Klipper ist Geschäftsführer und Eigentümer der CycleSEC GmbH. Er ist Autor mehrerer Fachbücher zu den Themen Cyber Security, ISMS-Implementierung mit ISO/IEC 27001 und Risikomanagement.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen