4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

Transkript

1 1 4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen

2 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT Service Management Prozess Informationssicherheit Zusammenspiel mit anderen Prozessen Umsetzung Informationssicherheit 2

3 3 Informationssicherheit Das Informations-Sicherheits-Management-System (ISMS) soll sicherstellen, dass adäquate und angemessene Sicherheitsmaßnahmen ausgewählt werden, die Informationswerte schützen und Vertrauen bei Interessenten erwecken [ISO 27001: Informationssicherheits-Managementsysteme Anforderungen] Das Ziel des Informations-Sicherheits- Managements (ISM) ist die Abstimmung zwischen IT-Sicherheit und business security und die Sicherstellung, dass Informationssicherheit in allen Services und Service Management Aktivitäten effektiv gemanaged wird. [ITIL v3: Service Design] 3

4 4 Informationssicherheit (ITIL v3) Informations Sicherheits Leitlinie Sicherheitsmaßnahmen, die die Leitlinie unterstützen Risiko Management in Bezug auf den Zugriff (access) auf Services, Informationen und Systeme Management von Sicherheitsereignissen Management externer Dienstleister / Lieferanten 4

5 5 Business security (ITIL v3) Beherrschung der Abhängigkeit von Externen Nutzungskontrolle (access control) Sicherstellung der Informationssicherheit im Rahmen der Corporate Governance Management von Sicherheitsrisiken Verantwortlicher Umgang mit den Informations Ressourcen 5

6 6 Business security der ÖV Gesetzliche Anforderungen Unterstützung der internen und externen Prozesse Zuverlässige IT-Services Beispiel: Doppische Buchführung Wirtschaftsprüfer / GPA IDW PS 330 6

7 7 Prozessdarstellung INPUT - Business Information - Business Policy - IT Information - Service Information - Operation Information - Sicherheitsereignisse Risikoanalyse Management Maßnahmen OUTPUT - Security Policy - Riskoberichte / Sicherheitskonzepte - Detailkonzepte - Sicherheitsmaßnahmen - Audit und Review Berichte 7

8 8 Prozess Informationssicherheit Quelle: ITIL v3 SD p

9 Zusammenspiel mit anderen Prozessen Service Transition 9 Service Operation 9 Service Level Mngt. Availability Mngt. Capacity Mngt. Continuity Mngt. Supplier Mngt. Change Mngt. Configuration Mngt. Release Mngt. Validation Mngt. Knowledge Mngt. Event Mngt. Incident Mngt. Request Mngt. Problem Mngt. Access Mngt. Service Design Continual Service Improvement

10 10 Umsetzung der Informationssicherheit Was ist notwendig bzw. wichtig? Service Level Management Availability bzw. Continuity Management Change, Event, Incident und Request Management Rahmenbedingungen setzen Sicherheitsorganisation Erfassung der wichtigsten Services Umfassende Sicherheitspolicy (ITIL +) 10

11 11 Umsetzung der Informationssicherheit ISM Prozess starten kontinuierlich verbessern 11

12 12 Informationssicherheit Fragen??? 12

13 13 Sicherheitspolicy und nachgelagerte Festlegungen Definition Risikomethoden und kriterien Klassifikations- und Umgangsbestimmungen für Informationen Personelle Sicherheit Nutzungsbestimmungen für Assets (Hardware- / Software) Passwortrichtlinie und Internet Policy (private / dienstliche Nutzung) Remote Access Externe Dienstleister Entsorgung von Datenträgern 13