COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH

Transkript

1 COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH Verfasser/in: Tobias Angehrn, Michael Schubiger, Pascal Eigenmann, Gabriela Caduff Projektcoach: Christian Thiel Wirtschaftsinformatik Seminar an der FHS St.Gallen, Hochschule für Angewandte Wissenschaften 2012

2 FHS-Projektteam: Tobias Angehrn Projektleiter Pascal Eigenmann Michael Schubiger Gabriela Caduff Projekt-Coach: Dr. Christian Thiel Eingereicht am: 04. Januar 2013

3 Inhaltsverzeichnis III Inhaltsverzeichnis Inhaltsverzeichnis... III Abbildungsverzeichnis... V Tabellenverzeichnis... VI Abkürzungsverzeichnis... VII 1 COBIT Grundidee von COBIT Meeting Stakeholder needs Bedürfnisse der Stakeholder treffen Covering the enterprise end to end Abdecken der gesamten Unternehmung Applying in a single integrated Framework Verwendung eines Frameworks Enabling a holistic approach Ganzheitlicher Ansatz Separating governance from management Von Management zu Governance COBIT 5 for Information Security Prinzipien, Strategien und Frameworks Prozesse Organisationsstruktur Kultur, Ethik und Verhalten Information Services, Infrastruktur und Applikationen Personen, Fähigkeiten und Kompetenzen Weitere Standards ISO Einleitung Anwendungsbereich BSI Grundschutz Standards Einleitung Vergleichskriterien Auswahl der Kriterien Einteilung der Kriterien... 12

4 Inhaltsverzeichnis IV 4 Vergleich Vergleich basierend auf COBIT Vergleich basierend auf ISO Zertifizierung Empfehlungen Szenario A Szenario B Szenario C Empfehlung an ISACA Quellenverzeichnis Anhänge... 1 Anhang A... 1 Vertraulichkeitserklärung... 3

5 Abbildungsverzeichnis V Abbildungsverzeichnis Abb. 1: Grundprinzipien von COBIT Abb. 2: Zielpyramide von COBIT Abb. 3: Umfang von COBIT 5 in einer Unternehmung... 3 Abb. 4: Integration von anderen Standarts in COBIT Abb. 5 Ganzheitlicher Ansatz von COBIT 5, die sieben Enablers... 5 Abb. 6 Dimension der Enabler in COBIT Abb. 7 Bereiche von COBIT Abb. 8 Gesamtpalette von COBIT Abb. 9 Prinzipien, Strategien und Frameworks für Information Security... 7 Abb. 10: Gesamtübersicht Prozesse der verschiedenen Standards Abb. 11: Prozessanzahl Evaluate, Direct and Monitor Abb. 12: Prozessanzahl Align, Plan and Organise Abb. 13: Prozessanzahl Build, Aquire and Implement Abb. 14: Prozessanzahl Deliver, Service and Support Abb. 15: Prozessanzahl Monitor, Evaluate and Assess Abb. 16 Prozessanzahl basierend auf ISO

6 Tabellenverzeichnis VI Tabellenverzeichnis Tab. 1: Rollen in COBIT 5 for Information Security... 8 Tab. 2: Arten der Information... 9

7 Abkürzungsverzeichnis VII Abkürzungsverzeichnis ISACA ISO IEC ISMS BSI Information System Audit and Control Association Internationale Organisation für Standardisierung Internationales elektronisches Komitee Informationssicherheits-Managementsystems Bundesamts für Sicherheit in der Informationstechnik

8 Kapitel 1: COBIT COBIT 5 Ursprünglich ist COBIT für den Bereich des Audits 1996 von der Information System Audit and Control Association (ISACA) auf den Markt gekommen. Im Laufe der Jahre hat ISACA das Framework stets ausgebaut wurde es um das Controlling erweitert sollte es das Management unterstützen. Seit 2005 beschäftigt sich COBIT in der Version 4.0 mit IT Governance. Diese Arbeit beschäftigt sich mit COBIT 5, dass 2012 auf den Markt kam. Das Update erweitert COBIT auf das Level der Governance of Enterprise IT. (Information System Audit and Control Association [ISACA], 2012a) In diesem Kapitel wird auf die Grundidee von COBIT 5 und COBIT 5 for IT Security eingegangen. 1.1 Grundidee von COBIT 5 Bedürfnisse von Stakeholder treffen Abgrenzung von Management und Governance fünf Prinzipien von COBIT 5 Abdecken der gesamten Unternehmung Ganzheitlicher Ansatz Verwendung eines Frameworks Abb. 1: Grundprinzipien von COBIT 5 Eigene Darstellung basierend auf ISACA, 2012b COBIT 5 besteht aus fünf Prinzipien. Diese sollen gewährleisten, dass das Unternehmen einen Vorteil aus der IT ziehen kann. Diese Grundprinzipien helfen dem Unternehmen die Unternehmensziele zu erreichen. Das Framework zeigt den Firmen auf, was gemacht werden muss um erfolgreich zu sein. Es liefert dabei jedoch keine explizierten Methoden um dies zu bewerkstelligen.

9 Kapitel 1: COBIT Meeting Stakeholder needs Bedürfnisse der Stakeholder treffen Umweltfaktoren technologische ökologische rechtliche ökonomische Bedürfnisse von Stakeholdern Risikooptimierung Ressourcenoptimierung Mehrwertgenerierung Unternehmensziele Informatikziele Prozess-, Einheits- oder Organisationsziele Abb. 2: Zielpyramide von COBIT 5 Eigene Darstellung basierend auf ISACA 2012b S. 18 Das erste Prinzip von COBIT 5 beschäftigt sich mit den Bedürfnissen der Stakeholder. Eine Unternehmung hat verschiedene Stakeholder, die auch gegenseitig in Konflikt stehen. Dadurch werden die Risiken aufgezeigt, die auch optimiert werden können. Wenn die Bedürfnisse der Stakeholder bekannt sind, kann man die Ressourcen auf diese anpassen was dem Unternehmen nützt. Es führt soweit, dass die Unternehmensziele davon abgeleitet werden können. Diese definieren wiederum die Informatikziele, die wiederum Ziele für die einzelnen Prozesse, Einheiten oder Organisationen vorgeben. COBIT 5 geht daher davon aus, dass die Bedürfnisse der Stakeholder eine wichtige Rolle im IT-Governance haben. ISACA hat eine Zielpyramide definiert, die in Abb. 2 ersichtlich ist. (ISACA, 2012b, S )

10 Kapitel 1: COBIT Covering the enterprise end to end Abdecken der gesamten Unternehmung Abb. 3: Umfang von COBIT 5 in einer Unternehmung Eigene Darstellung basierend auf ISACA 2012b S ISACA schreibt im Framework, dass in COBIT 5 alle relevanten Funktionen und Prozesse zu Informationen und Technologien für die Führung einer Unternehmung abgedeckt werden. Es greift dabei auf das Prinzipal 1 den Bedürfnissen der Stakeholder zurück.

11 Kapitel 1: COBIT Applying in a single integrated Framework Verwendung eines Frameworks Abb. 4: Integration von anderen Standarts in COBIT 5 Quelle: ISACA 2012b S. 61 In Abb. 4 ist ersichtlich, dass die ISACA versucht hat, andere gängige Frameworks abzudecken. Es ist aber nicht so, dass COBIT 5 keine Ergänzungen durch andere Frameworks zulässt. Weiter wurde in der Version 5 Val IT und Risk IT integriert, wodurch es für Unternehmen einfacher wird, diese umzusetzen. (ISACA, 2012b S. 25)

12 Kapitel 1: COBIT Enabling a holistic approach Ganzheitlicher Ansatz Abb. 5 Ganzheitlicher Ansatz von COBIT 5, die sieben Enablers Eigene Darstellung basierend auf ISACA, 2012b S. 27 In Abb. 5 sind sieben Enablers, die das Unternehmen beeinflussen, aufgezeigt. COBIT 5 basiert auf diesen sieben Enablers und sagt zu jedem etwas. Die Punkte eins bis vier beschäftigen sich mit Elementen die sich managen lassen. Die restlichen drei Punkte beinhalten sowohl Management als auch Government. (ISACA, 2012b, S. 27) Abb. 6 Dimension der Enabler in COBIT 5 Quelle: ISACA 2012b S. 25

13 Kapitel 1: COBIT 5 6 Alle sieben Enabler werden in COBIT 5 nach dem gleichen Schema beschrieben. Dieses ist in Abb. 6 ersichtlich. Jeder Faktor hat einen oder mehrere Stakeholder. Es soll für jeden Enabler ein Ziel erreicht werden. Jeder Enabler besitzt einen eigenen Lebenszyklus. Es wird weiter beschrieben, wie mit den jeweiligen Enabler umgegangen wird. (ISACA 2012b, S. 28) Separating governance from management Von Management zu Governance Um eine Abgrenzung von Management und Governance zu erhalten, muss zuerst klar sein, was der Unterschied ist. ISACA definiert Governance und Management folgendermassen: Governance stellt die Bedürfnisse der Stakeholder sicher und evaluiert diese. Es setzt somit die Richtung für das Management fest. Weiter entscheidet Governance, was wichtig ist und überwacht dessen Umsetzung. (ISACA, 2012b, S. 31) Das Management plant die Handlungen zur Zielerreichung, setzt diese um und ist für den erfolgreichen Betrieb verantwortlich. Um dies zu gewährleisten, muss auch eine Überprüfung stattfinden. (ISACA, 2012b, S. 31) Abb. 7 Bereiche von COBIT 5 Quelle: eigene Darstellung basierend auf ISACA 2012b S. 33 Dies ist also ein Prozess, der den Wertgewinn ermöglichen soll. COBIT 5 gliedert dies in fünf Bereiche die in Abb. 7 ersichtlich sind. Es ist darauf zu achten, dass die Managementprozesse ein Teil der Governanceprozesse sind.

14 Kapitel 1: COBIT COBIT 5 for Information Security Abb. 8 Gesamtpalette von COBIT 5 Quelle: ISACA 2012c S. 13 In Kapitel 1 wurde die Idee hinter COBIT 5 kurz vorgestellt. Über COBIT 5 gibt es mehrere Anwendungsgebiete. Der Guide über Information Security nimmt die sieben Enabler von COBIT 5 und wendet diese auf den Bereich der Sicherheit an. (ISACA, 2012c, S. 13) Prinzipien, Strategien und Frameworks Abb. 9 Prinzipien, Strategien und Frameworks für Information Security Quelle: ISACA 2012c COBIT 5 schlägt vor, dass die Elemente, die in Abb. 9 ersichtlich sind, in einem Framework vorhanden sein müssen. Ein Framework stellt sich also aus fünf grundlegenden Teilen zusammen.

15 Kapitel 1: COBIT 5 8 Die Information Security Principles sind limitiert und sollen das Unternehmen verteidigen und unterstützen sowie ein entsprechendes Verhalten in Bezug auf die Sicherheit gewährleisten. Die Information Security Policy soll helfen die Information Security Principles umzusetzen Prozesse Auf der Prozessebene werden in COBIT 5 for Information Security die Prozesse von COBIT 5 aus der Sicherheitssicht angeschaut. Dies bedeutet, dass der Prozess nicht allgemein auf das Unternehmen angeschaut wird, sondern nur unter dem Aspekt der Sicherheit. Als Beispiel kann man den Prozess APO12 nehmen. COBIT 5 beschäftigt sich mit Risiken die das Unternehmen haben kann, darunter fallen verschiedene Arten von Risiken, wie zum Beispiel Brände oder Naturkatastrophen. In COBIT 5 for Information Security ist der Prozess APO12 jedoch spezifisch auf Risiken im Informatikbereich angewendet Organisationsstruktur Rolle Aufgabe Chief information security officer (CISO) Verantwortung für Informationssicherheit über das gesamte Unternehmen. Information security steering commitee (ISSC) Stellt die Überwachung und die Überprüfung der COBIT Prozesse und Frameworks über das Unternehmen sicher. Tab. 1: Rollen in COBIT 5 for Information Security Quelle: Eigene Darstellung basierend auf ISACA 2012c COBIT 5 for Information Security legt Vorschläge vor, die einem Unternehmen zeigen, welche Positionen in einem Unternehmen für die Sicherheit bestehen müssen. Einige Beispiele sind in Tab. 1 ersichtlich Kultur, Ethik und Verhalten Im Rahmen der die Kultur, die Ethik und das Verhalten beschreibt, ist vor allem das Verhalten der Stakeholder zu beachten. Es ist wichtig, dass man die Unternehmenskultur kennt, um die Sicherheitsaspekte möglichst ohne deren Einschränkung einführen kann. Da in der Unternehmenskultur Änderungen oft auf Wiederstand stossen, müssen diese von den Verantwortlichen vorgelebt werden.

16 Kapitel 1: COBIT Information Informationen sind in der heutigen Arbeitswelt all gegenwertig. Die Information ist somit ein Key Enabler für die Information Security. Informationen können in folgende Typen gegliedert werden. Informationstypen Information Security Strategy Information Security Budget Information Security Plan Policies Information Security Requirements Awareness Material Information Security Review Reports Information Security Service Catalogue Information Security Risk Profile Information Security Dashboard Tab. 2: Arten der Information Quelle: Eigene Darstellung basierend auf ISACA 2012c Es gibt in COBIT 5 for Information Security zehn verschiedene Arten von Informationstypen. Diese sind in Tab. 2 ersichtlich. Jeder dieser zehn Typen kann einem Stakeholder zugeordnet werden Services, Infrastruktur und Applikationen COBIT 5 for Information Security schlägt eine Reihe von Services vor, die von den Prozessen vorausgesetzt werden Personen, Fähigkeiten und Kompetenzen Dieser Bereich von COBIT 5 beschreibt die Fähigkeiten und Kompetenzen des bestmöglichsten Fähigkeitslevels der Mitarbeiter eines Unternehmens. In Wirklichkeit ist dieses jedoch oft schwer oder gar nicht zu erreichen.

17 Kapitel 2: Weitere Standards 10 2 Weitere Standards Neben COBIT 5 gibt es noch andere Standards über die Informationssicherheit, die international anerkannt sind und eingesetzt werden. Hierzu gehören der ISO Standard, sowie der BSI Grundschutz. 2.1 ISO Bei ISO handelt es sich um einen international anerkannten Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (Internationales elektronisches Komitee) entwickelt, herausgegeben und gepflegt wird. Mit ISO können Organisationen aller Branchen ihre Prozesse und Massnahmen zur Gewährleistung der Informationssicherheit zertifizieren lassen. (mitsm, ohne Datum) Einleitung ISO verwendet einen prozessorientierten Ansatz für die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines organisationseigenen Informationssicherheits-Managementsystems (ISMS). Folgende Punkte sind für die Anwendenden dieser Norm von besonderer Wichtigkeit: 1. Verständnis der Anforderungen der Organisation an Informationssicherheit, und die Notwendigkeit, eine Leitlinie und Ziele für Informationssicherheit festzulegen; 2. Umsetzung und Betrieb von Maßnahmen, um die Informationssicherheitsrisiken einer Organisation in Zusammenhang mit den allgemeinen Geschäftsrisiken der Organisation zu verwalten; 3. Überwachung und Überprüfung der Leistung und Wirksamkeit des ISMS und 4. ständige Verbesserung auf der Basis von objektiven Messungen. Um die Prozesse zu strukturieren wird das Plan-Do-Check-Act Modell angewandt. (mitsm, ohne Datum) Anwendungsbereich Die ISO/IEC kann in allen Arten von Organisationen eingesetzt werden und soll für verschiedene Bereiche innerhalb der Organisation anwendbar sein. Insbesondere in folgenden Punkten kann die Norm zugezogen werden: Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit Kosteneffizientes Management von Sicherheitsrisiken Sicherstellung der Konformität mit Gesetzen und Regulatoren

18 Kapitel 2: Weitere Standards 11 Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit Definition von neuen Informationssicherheits-Managementprozessen Identifikation und Definition von bestehenden Informationssicherheits- Managementprozessen Definition von Informationssicherheits-Managementtätigkeiten Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards (mitsm, ohne Datum) 2.2 BSI Grundschutz Standards Viele Arbeitsprozesse werden heutzutage elektronisch gesteuert und eine große Menge von Informationen ist digital gespeichert, wird verarbeitet und in Netzen übermittelt. Damit sind Organisationen und alle Anwender von dem einwandfreien Funktionieren der eingesetzten IT abhängig. Wachsende Gefährdungspotentiale und die steigende Abhängigkeit von der IT stellen die Anwender vor neue Fragen, nämlich wie kann ich, wo mit welchen Mitteln mehr Informationssicherheit erreichen. (BSI, ohne Datum) Einleitung Die IT-Grundschutzkataloge vom BSI (Bundesamts für Sicherheit in der Informationstechnik) bilden eine Basis für die Informationssicherheit. So ist z.b. auch der ISO/ICE auf diesen Grundsätzen aufgebaut. Die BSI-Standards enthalten Empfehlungen zu Prozessen, Verfahren, Vorgehensweisen und Massnahmen in Bezug zur Informationssicherheit. Der BSI-Standard setzt sich aus vier Katalogen zusammen. Dies sind: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Für die spätere Gegenüberstellung mit COBIT 5 und ISO/ICE werden die Kataloge 1-3 zur Hand genommen.

19 Kapitel 3: Vergleichskriterien 12 3 Vergleichskriterien In diesem Kapitel wird darauf eingegangen wie die Kriterien ausgewählt wurden. 3.1 Auswahl der Kriterien Gemäss Aufgabenstellung hat sich die Projektgruppe gefragt, wie sich verschiedene Sicherheitsframeworks am besten vergleichen lassen. Als erstes wurden die Kriterien aufgebaut, diese wurden auf der Basis von COBIT 5, dem neusten unter den verglichenen Sicherheitsframeworks, erstellt. Danach wurden die weiteren zu vergleichenden Standards beigezogen und Kriterien ergänzt die in diesen Standards erwähnt wurden aber nicht in COBIT 5 enthalten sind. Am Schluss wurden dann noch einige Punkte welche nicht direkt mit den Standards zu tun haben als Kriterien hinzugefügt. 3.2 Einteilung der Kriterien Da die verschiedenen Kriterien noch eher ungeordnet waren wurden diese in verschiedene Übertitel eingeteilt. Diese lauten: Evaluate, Direct and Monitor Align, Plan and Organise Build, Acquire and Implement Deliver, Service and Support Monitor, Evaluate and Assess ISO Unabhängige Kriterien Die gesamte detaillierte Auflistung der Kriterien sehen sie in Anhang A dieser Arbeit.

20 Kapitel 4: Vergleich 13 4 Vergleich Dieses Kapitel wird die verschiedenen Prozessbeschreibungen der verschiedenen Standards einander gegenüberstellen. 4.1 Vergleich basierend auf COBIT 5 In den folgenden Darstellungen wird COBIT 5 immer die meisten Punkte erzielen, da die Projektgruppe die Auswahlkriterien anhand des COBIT 5 Standards festgelegt hat Cobit 5 ISO Cobit 4.0 BSI Abb. 10: Gesamtübersicht Prozesse der verschiedenen Standards Quelle: eigene Darstellung Die Abb. 10 zeigt zuerst einen Überblick über alle fünf Auswahlkriterien aus COBIT 5 und ein Punkt basierend auf ISO Auf die einzelnen Punkte wird nachfolgend eingegangen.

21 Kapitel 4: Vergleich 14 6 Evaluate, Direct and Monitor Cobit 5 ISO Cobit 4.0 BSI Abb. 11: Prozessanzahl Evaluate, Direct and Monitor Quelle: eigene Darstellung COBIT 5, sowie ISO zeigen fünf Prozesse im Evaluate, Direct and Monitor auf (vgl. Abb. 11). In COBIT 4.0 wird dieser Bereich nicht abgedeckt. Der BSI Grundschutz stellt dazu zwei Prozesse dar. 14 Align, Plan and Organise Cobit 5 ISO Cobit 4.0 BSI Abb. 12: Prozessanzahl Align, Plan and Organise Quelle: eigene Darstellung Im Align, Plan and Organise beschreibt COBIT 5 13 Prozesse. In ISO werden acht Prozesse aufgezeigt, in COBIT 4.0 neun Prozesse und in BSI sechs Prozesse, welche näher auf das ausrichten, planen und organisieren eingehen. (vgl. Abb. 12)

22 Kapitel 4: Vergleich Build, Aquire and Implement Cobit 5 ISO Cobit 4.0 BSI Abb. 13: Prozessanzahl Build, Aquire and Implement Quelle: eigene Darstellung In Abb. 13 wird die Anzahl Prozesse im Bereich Build, Aquire and Implement dargestellt. COBIT 5 zählt dazu zehn Prozesse, die anderen Standards haben hier weit weniger Prozesse. In ISO sind es drei Prozesse, in COBIT 4.0 auch drei Prozesse und in BSI vier Prozesse. 7 Deliver, Service and Support Cobit 5 ISO Cobit 4.0 BSI Abb. 14: Prozessanzahl Deliver, Service and Support Quelle: eigene Darstellung Im Punkt Deliver, Service and Support (vgl. Abb. 14) haben die drei Standards COBIT 5, ISO und COBIT 4.0 fast gleich viele Prozesse, nämlich fünf resp. sechs Punkte. Einzig BSI hat zu diesem Punkt nur zwei Prozesse.

23 Kapitel 4: Vergleich Monitor, Evaluate and Assess 0 Cobit 5 ISO Cobit 4.0 BSI Abb. 15: Prozessanzahl Monitor, Evaluate and Assess Quelle: eigene Darstellung Im Bereich von Monitor, Evaluate and Assess (Abb. 15) haben die Standards COBIT 5, ISO und COBIT 4.0 alle drei Prozesse, die diesen Punkt beschreiben. Der BSI Grundschutz stellt keinen Prozess in diesem Bereich dar. 4.2 Vergleich basierend auf ISO ISO basierende Merkmale Cobit 5 ISO Cobit 4.0 BSI Abb. 16 Prozessanzahl basierend auf ISO Quelle: eigene Darstellung Zusätzlich neben der Ausganglage, die sich die Projektgruppe gestellt hat, hat die Gruppe im ISO und im BSI noch je neun weitere Prozesse gefunden, welche in COBIT 5 und in COBIT 4.0 nicht aufgezeigt sind (Abb. 16). Diese bestehen aus der physischen und umgebungsbezogenen Sicherheit (2 Prozesse) sowie der Zugangskontrolle (7 Prozesse).

24 Kapitel 4: Vergleich Zertifizierung Die Zertifizierung kann in allen Standards erreicht werden. Sowohl mit ISO als auch mit BSI wird die Unternehmung zertifiziert, in Cobit hingegen können sich nur einzelne Personen auf dem Standard zertifizieren lassen. Der Standard von ISO ist der bekannteste und meist verbreitete, da es viele verschiedene ISO Standards gibt und diese für viele Bereiche verwendet werden können. Da in Cobit nur Personen zertifiziert werden können, sagt die Cobit Zertifizierung lediglich aus, dass diese Personen COBIT kennen und es implementieren können, es fehlt jedoch eine Aussage über die Unternehmung. Es fehlt somit eine Zertifizierung der Unternehmung nach dem COBIT-Standard.

25 Kapitel 5: Empfehlungen 18 5 Empfehlungen 5.1 Szenario A Wenn eine grössere Firma Applikationen selbst erstellt, verwaltet und implementiert, ist es Sinnvoll mit COBIT 5 zu arbeiten. COBIT 5 hat in diesem Bereich zehn Standards, welche Empfehlungen geben und Hilfestellung anbieten. Die drei anderen untersuchten Standards haben jeweils nur drei bis vier Prozesse im Bereich Build, Aquire and Implement. 5.2 Szenario B Wird in grösseren Unternehmen international gearbeitet und grossen Wert auf die Zertifizierung gelegt, ist es sinnvoll diese nach ISO durchzuführen. BSI ist ein deutscher Standard und COBIT 5 noch relativ neu, weshalb beide noch etwas weniger verbreitet sind als ISO. Weiterhin gibt es verschiedene ISO Standards welche gut zusammen mit der ISO Zertifizierung verwendet werden können. 5.3 Szenario C Für kleinere Firmen ist BSI Grundschutz ein guter Ansatz. Dieses ist für diese etwas weniger strikt und umfangreich definiert und erlaubt eine einfachere Implementation von Security- Standards. BSI kann ebenfalls zertifiziert werden und gibt der Firma noch etwas freiere Hand, beispielsweise im Risikomanagement. 5.4 Empfehlung an ISACA Für ISACA wäre es sinnvoll ein Cobit light für KMU s zu entwickeln. Diese haben zurzeit mit COBIT zu viel Aufwand und sind mit dem BSI Grundschutz besser bedient.

26 Quellenverzeichnis 19 Quellenverzeichnis Bundesamt für Sicherheit in der Informationstechnik. (ohne Datum). IT-Grundschutz. Gefunden am unter Information System Audit an Control Association [ISACA]. (2012a). COBIT 5-Introduction. Gefunden am unter Introduction.ppt ISACA. (2012b). COBIT 5 Framework. Rolling Meadows: Autor. ISACA. (2012c). COBIT 5 for Information Security. Rolling Meadows: Autor. mitsm. (ohne Datum). Wissenswertes: Fragen und Antworten rund um ISO/IEC Gefunden am unter knowledge/fragen-und-antworten-zum-iso standard

27 Physische und umgebungsbezogene Sicherheit Anhänge 1 Anhänge Anhang A Cobit 5 ISO Cobit 4.0 BSI Evaluate, Direct and Monitor Cobit 5 ISO Cobit 4.0 BSI Gibt es Regelungen bezüglich Werden die erstellten Vorteile Werden Risiken optimiert? Gibt es eine Werden Stakeholder mit Align, Plan and Organise Cobit 5 ISO Cobit 4.0 BSI Verwalten von IT Management Verwalten von Strategien Verwalten der Verwalten von Innovation Verwalten des Portfolios Verwalten des Budget und der Verwalten des Personals Verwalten der Beziehungen Verwalten von Service-Verträgen Verwalten von Lieferanten Verwalten der Qualität Verwalten des Risikos Verwalten der Sicherheit Build, Aquire and Implement Cobit 5 ISO Cobit 4.0 BSI Verwalten von Programmen und Verwalten von Verwalten von Verwalten der Erreichbarkeit und Verwalten von Organisatorischen Verwalten von Change Verwalten der Akzeptanz der Veränderung und dem Übergang Verwalten von Wissen Verwalten von Anlagen Verwalten der Konfiguration Deliver, Service and Support Cobit 5 ISO Cobit 4.0 BSI Verwalten des Betriebs Verwalten von Servicerequests und Ereignisse Verwalten von Problemen Verwalten der Kontinuität Verwalten von Sicherheitsservicen Verwalten von Kontrollen der Businessprozessen Monitor, Evaluate and Assess Cobit 5 ISO Cobit 4.0 BSI Überwachen, beurteilen und bewerten der Leistung und Übereinstimmung Überwachen, beurteilen und bewerten des Systems der internen Kontrolle Überwachen, beurteilen und bewerten die Compliance mit externen Anforderungen ISO basierende COBIT Merkmale 5 FOR INFORMATION SECURITY Cobit 5 EIN VERGLEICH ISO Cobit 4.0 BSI

28 Verwalten des Betriebs Verwalten von Servicerequests und Ereignisse Verwalten von Problemen Anhänge Verwalten der Kontinuität Verwalten von 2 Sicherheitsservicen Verwalten von Kontrollen der Businessprozessen Monitor, Evaluate and Assess Cobit 5 ISO Cobit 4.0 BSI Überwachen, beurteilen und bewerten der Leistung und Übereinstimmung Überwachen, beurteilen und bewerten des Systems der internen Kontrolle Überwachen, beurteilen und bewerten die Compliance mit externen Anforderungen ISO basierende Merkmale Cobit 5 ISO Cobit 4.0 BSI Physische und umgebungsbezogene Sicherheit Zugangskontrolle Cobit 5 ISO Cobit 4.0 BSI Evaluate, Direct and Monitor Align, Plan and Organise Build, Aquire and Implement Deliver, Service and Support Monitor, Evaluate and Assess ISO basierende Merkmale

29 Vertraulichkeitserklärung Wir erklären hiermit, dass wir: - den Inhalt dieser Arbeit unter Angabe aller relevanten Quellen selbständig verfasst haben. - die uns anvertrauten Informationen von Seiten der Kundschaft auch nach Abgabe der Arbeit vertraulich behandeln werden. - ohne Zustimmung der Wissenstransferstelle WTT-FHS und der Kundschaft keine Kopien dieser Arbeit an Dritte aushändigen werden. Ort/Datum: Namen: St. Gallen, Tobias Angehrn Michael Schubiger Pascal Eigenmann Gabriela Caduff