Die Überschneidungen zwischen einem Information Security Management System (ISMS) und einem Service Management System (SMS) sind so groß, dass viele Organisationen dazu übergehen, beide Managementsysteme als integriertes Managementsystem (IMS) zu betreiben. Im CycleSEC Blog erklären wir, wie das funktioniert und worauf Sie dabei achten müssen.
Drei internationale Standards
Die Anforderungen an ein ISMS sind im ISO-Standard ISO/IEC 27001 beschrieben, der von zahlreichen Standards der 27000er-Familie ergänzt wird. Die Anforderungen an ein Service Management System (SMS) findet man in der Norm ISO/IEC 20000-1, die sich an den Prozessbeschreibungen der IT Infrastructure Library (ITIL) ausrichtet und diese komplementär ergänzt. In ISO/IEC 27013 schließlich gibt die ISO Hilfestellungen zur Integration der beiden Managementsysteme.
Security Management in ISO/IEC 20000-1
Während 27001 sich in vollem Umfang mit Security Management beschäftigt, spielt das in 20000-1 eine Nebenrolle. In Abschnitt 6.6 des Service Management Standards werden die folgenden Aspekte angesprochen und weiter detailiert:
- 6.6.1 Information Security Policy
- 6.6.2 Information Security Controls
- 6.6.3 Information Security Changes und Incidents
ISO/IEC 27001 als Baustein für ISO/IEC 20000-1 6.6
Diese Punkte und die in diesen Abschnitten zusätzlich angesprochenen Aspekte wie ein Management vorhandener Risiken sind in einem ISMS nach ISO/IEC 27001 bereits abgedeckt. In einem Prozessdiagramm für das Information Security Management lässt sich das wie folgt darstellen:
Hierbei wurde im Feld 1.1 das ISMS nach ISO/IEC 27001 eingesetzt. Unter der Motorhaube liefert das ISMS mindestens die oben genannten Abschnitte der ISO/IEC 20000-1 und modelliert die dort geforderten Prozesse. Die obige Grafik wäre dann wie folgt zu ergänzen:
Je nach Ausgestaltung und Zielsetzung ist zusätzlich noch eine geeignete Schnittstelle zwischen Change Management und Problem-Management des SMS zu definieren. Haben Sie in Ihrer Organisation bereits ein ISMS in Betrieb, wird es Ihnen leicht fallen, die vorhandenen Prozesse an die Anforderungen des Service Managements anzupassen.
Integration beider Ansätze mit ISO/IEC 27013
Wer nun beide Welten in einem integrierten Ansatz zusammenführen möchte, kann dabei auf die standardisierte Vorgehensweise der ISO/IEC 27013 zurückgreifen. Sie gibt Hilfestellung beide Welten besser zu verstehen. Neben einer Kreuzreferenztabelle zwischen einzelnen Abschnitten beider Standards werden auch Unterschiede und Gemeinsamkeiten im jeweiligen Vokabular aufgezeigt.
So verwenden beide Standards unterschiedliche Verfügbarkeitsbegriffe (Availability vs. Accessibility) und auch die Verwendung des Begriffs Incidents erfolgt mit großen Unterschieden. Was in der ISO/IEC 27001 als Incident bezeichnet wird, ist in ISO/IEC 20000-1 ein Information Security Incident. Was in der ISO/IEC 20000-1 hingegen als Incident bezeichnet wird, muss nicht unbedingt auch in der ISO/IEC 27001 ein Incident sein.
Grundsätzliche Anwendungsfälle
Nicht immer haben Organisationen allerdings bereits ein ISMS in Betrieb, wenn sie über die Einführung eines Service Managements nachdenken. In den meisten Fällen sollte es eher umgekehrt sein, oder es ist weder ein standardkonformes Service Management noch ein ISMS im Betrieb. Daher kann man grundsätzlich die folgenden drei Anwendungsfälle unterscheiden:
- Keiner der beiden Standards wird angewendet.
- Einer der beiden Standards wird angewendet.
- ISO/IEC 20000-1 wird bereits angewendet.
- ISO/IEC 27001 wird bereits angewendet.
- Beide Standards werden angewendet, die Management Systeme sind aber nicht aufeinander abgestimmt.
Ergänzend sollte man bedenken, dass man auch im ersten Fall nie „auf der grünen Wiese“ beginnt. Es gibt immer ein gewisses Maß an vorhandenen Prozessen, selbst wenn diese (noch) nicht formal eingeführt und dokumentiert wurden. In ISO/IEC 27013 werden diese vorhanden Prozesse als „Ad-Hoc Management Arrangements“ bezeichnet.
Abweichungen beim Scope
Ein weiterer wichtiger Punkt sind die Unterschiede im Geltungs- und Wirkungsbereich der beiden Normen. ISO/IEC 20000-1 befasst sich mit Design, Transition, Delivery und Verbesserung von Services und definiert hierfür Service Anforderungen, Policies, Prozesse und so weiter. Der Scope von ISO/IEC 20000-1 liegt dann bei den Services, die dem Service Management unterliegen sollen. Die Herstellung von Informationssicherheit spielt jedoch auch an Stellen einer Organisation eine Rolle, an denen keine Services erbracht werden. In der Folge bedeutet das, dass man zwar ISO/IEC 27001 für den gleichen Scope implementieren kann, der auch für ISO/IEC 20000-1 gilt, nicht jedoch umgekehrt. Solange es sich bei der betroffenen Organisation nicht vollständig um einen Service Provider handelt, wird der ISO/IEC 27001 Scope in aller Regel weiter gefasst sein.
Herausforderungen bei der Integration
Wie wir bereits dargestellt haben, sieht man sich im Rahmen der Integration der beiden Welten zunächst mit unterschiedlichen Begriffswelten konfrontiert. Aber auch andere Punkte werden aus unterschiedlichen Blickwinkeln betrachtet. Hierzu zählen:
- Benutzung und Bedeutung des Asset-Begriffs (Werte)
- Design und Transition von Services
- Risiko Assessment und Management
- Risikoakzeptanzkriterien
- Incident und Problem Management
- Change Management
Synergien beider Welten
Neben diesen Herausforderungen gibt es aber auch eine ganze Reihe von Überschneidungen, die die eigentliche Motivation für eine Integration der beiden Managementsystem sind. Hierzu zählen:
- Benutzung des Plan-Do-Check-Act Zykluses
- Service Level Management und Reporting
- Management Commitment
- Capacity Management (Verfügbarkeit)
- Continuity Management
- Management von Zulieferern (third party)
- Configuration Management
- Release Management
- Finanzielle Aspekte
Fazit
Mit einem funktionierenden ISMS lassen sich die Service Management Anforderungen der ISO/IEC 20000-1 (und von ITIL) mit überschaubarem Aufwand realisieren. Aber auch die Implementierung eines ISMS wird von vorhandenen Teilen des Service Managements profitieren.
So wird beispielsweise die Configuration Management Database (CMDB) eine ergiebige Informationsquelle für das ISMS sein. Auch ein bereits etabliertes Dokumenten oder Change Management erspart bei der Ausgestaltung eines ISMS viel Arbeit. So werden Synergien erzielt und sich überschneidende Zuständigkeiten mit einhergehender Doppelarbeit vermieden.
Auf diese Weise knüpft ein IMS Verbindungen zwischen der Service Delivery der IT und dem ISMS Team, die sonst nur schwer aufzubauen gewesen wären.
Weitere Informationen
Wenn Sie sich vertieft mit diesem Thema auseinander setzen möchten, empfehlen wir die Lektüre der ISO/IEC 27013 in Verbindung mit ISO/IEC 27001 und ISO/IEC 20000-1, die für zusammen ca. 450 € beim Beuth Verlag bezogen werden können (Links: 27001, 20000-1, 27013).
Security Management mit CycleSEC : Profitieren Sie von unserer langjährigen Erfahrung bei Implementierung und Verbesserung des Managements von Informationssicherheit. Durch unsere Beratung zu ISMS, ISO 27001, Business Continuity und zum Risiko Management bringen Sie Ihre Projekte voran und machen Ihre Sicherheitsstrategie fit für die Zukunft. → weitere Informationen…
Kontakt zu CycleSEC
Natürlich beraten wir Sie gerne zu Ihrem Integrationsprojekt und beantworten Ihre Fragen rund um das Thema Integrierte Managementsysteme. Nehmen Sie noch heute Kontakt zu uns auf. Hierzu können Sie das folgende Kontakt-Formular nutzen:
Kontaktformular
Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.