Wechselwirkungen von Service und Security Management

Master-Studiengang Information Security

Wie beeinflussen Prozesse/Aktivitäten der Service Management Domain ein Information Security Management System?

Dipl.-Ing. Mario-Valentin Trompeter, BSc

Betreuer: FH-Prof. Mag. Dr. Tjoa

Ausgangslage

Es ist ein deutlicher Trend zu verzeichnen, dass auch in Zukunft der Ruf nach Zertifizierungen ein unbedingtes Erfordernis für IT-Organisationen darstellen wird, weshalb sich diese Diplomarbeit im Besonderen mit den Wechselwirkungen zwischen IT-Service und Security Management beschäftigt.

Regelwerke fördern nicht nur die Transparenz und Vergleichbarkeit, vielmehr stationieren diese auch ein Zeichen für Qualität. Dritten wird es ermöglicht, anhand etwaiger Anforderungen diverse Bereiche wie Planung, Kontrolle und Monitoring besser abzudecken. Zahlreiche Standards am Markt machen die Entscheidungsfindung für das Management jedoch keinesfalls leichter.

Ziel

Dennoch richten die Organisationen vermehrt ihre IT-Landschaft nach Regelwerken der IT-Service und Security Management Domain aus, um den Marktanforderungen gerecht zu werden. Demzufolge sind anschließend zur Übersicht der vorliegenden Standards die bekanntesten Vertreter der vorliegenden Themenbereiche, die ISO/IEC 20000, die ISO/IEC 27001 respektive die ISO/IEC 27002, selektiert, um auf deren Basis fortführende Aussagen in einem Tool abzubilden.

Ergebnis

Das Herzstück bildet dabei eine Kreuztabelle, welche die Abhängigkeiten der ISO/IEC 20000 zur ISO/IEC 27001 und ISO/IEC 27002 darstellt. Mit Hilfe von Expertinnen und Experten aus Forschung und Wirtschaft wurde diese Matrix entwickelt, um Aussagen über die gegenseitigen Abhängigkeiten wissenschaftlich auszudrücken. Durch das im Zuge dieser Arbeit konzipierte Assessment Tool können auf Basis der entwickelten Kreuztabelle und Auditbewertungen weitere Berechnungen durchgeführt werden. Organisationen wird dadurch ermöglicht, vorausschauend zu eruieren, welche Prozesse und Kontrollen mit welchen Standards am besten abgedeckt werden, wie sie sich in Kombination auswirken und wo die einzelnen Schnittstellen zwischen diesen zu finden sind. Das Tool agiert dabei zum einen als unterstützendes Werkzeug im Zuge von Audits zur Dokumentation und zum anderen können mit den entstehenden Ergebnissen Entscheidungen zu Standards getroffen beziehungsweise entsprechende Handlungen durchgeführt werden.