Das Bedürfnis nach Sicherheit ist nicht neu
Aufgabenstellung
Die Berater von Beck et al. Services konzipierten ein IT Security Management System für die Corporate IT eines weltweit aufgestellten Automobilzulieferers, basierend auf ITIL® v3 und den Normen ISO/IEC 20000 und 27001.
Das Ziel war die Einbindung des IT Security Management in die bestehende ITIL® Prozess-Landschaft. Es galt, die Anforderun-gen des internationalen Sicherheitsstandards ISO/IEC 27001 im Rahmen der Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) zu berücksichtigen. Sowohl ISO/IEC 27001 als auch die Empfehlungen des BSI finden Ihre Anwendung in der Automobilindustrie.
Darüber hinaus hängt die Einhaltung der Sicherheitsbestim-mungen stark davon ab, inwieweit diese in der Organisation auch von den Mitarbeitern gelebt werden. Der Faktor „Mensch“ bestimmt den Erfolg eines IT Security Management Systems. Vor diesem Hintergrund wurden gezielt moderierte Workshops zum Thema „IT Security Awareness“ durchgeführt, um die Mitarbeiter von Anfang an in die künftigen Aktivitäten einzubinden.
Nutzen
Durch die Ausrichtung des IT Security Management Systems nach ITIL® v3, ISO 20000 ISO/IEC 27001 erreicht der Kunde die Verbindung zwischen Business und unterstützenden IT Services. Da ITIL® eine Abstimmung zwischen Geschäftsbereichen und IT fordert, legen Bu-siness- und IT Verantwortliche den Servicebedarf für Informationssi-cherheit gemeinsam fest. Die entwickelten IT Security Services sind dadurch mit den Geschäftszielen konform.
Durch die Festschreibung von Rollen und Verantwortlichkeiten ist bei einem Zwischenfall klar definiert, wer handelt und wie dies geschieht. Darüber hinaus ist es dem Kunden möglich, Sicherheitsprozesse und Standards (z. B. SLAs und OLAs) reibungslos zu überwachen und zu steuern. Damit erkennen Organisationen die Effizienz der Sicher-heitsprogramme an und der Kunde kann gesetzliche Vorschriften (z. B. Basel II, 8. EU Richtlinie sowie SOX) besser erfüllen.
Zudem ist die Zukunftsfähigkeit des IT Security Management Systems sichergestellt. Durch ständige Überprüfung sorgt der „Continual Service Improvement“ Prozess dafür, dass getroffene Maßnahmen zur Informationssicherheit effektiv bleiben, selbst wenn sich Anforderungen, Umgebungen oder Bedrohungen ändern.
Zudem verhindert die Anlehnung an das ITIL®-Regelwerk die übereilte, unorganisierte Einführung von IT Security Maßnahmen, da dieses eine konsistente, messbare Strategie erfordert.
Eckdaten
Zahlen: 133.000 Mitarbeiter im Konzern, Zeitraum: 3 Monate Kon-zeption, 2 Monate Coaching & Workshops.