IT Security Management mit ITIL

Klare Rollenverteilung

IT Security Management ist Chefsache. Die Entscheidung ob, wie und zu welchen Kosten derartige Prozesse im Unternehmen eingeführt werden, setzt eine Abstimmung und Zustimmung mit beziehungsweise durch die Geschäftsführung voraus. Das Senior-Management sollte die Sicherheitsstrategie definieren, nach innen und außen kommunizieren und für die effektive Implementierung sorgen. Zudem ist es Aufgabe des Managements, die Rollen und Zuständigkeiten für Security-Management zu definieren und zu verteilen.

Eine vorher festgelegte Managergruppe muss die Effizienz der Sicherheitsmaßnahmen kontinuierlich überwachen, um deren Effektivität und Effizienz fortwährend zu bewerten und eine Grundlage für neuerliche Anpassungen und weitere Maßnahmen zu erhalten. Wichtig dabei sind die Dokumentation und das regelmäßige Reporting, damit das Management Informationen über die Effektivität der Sicherheitsmaßnahmen, Trends bei Sicherheitsvorfällen und Input für mögliche Verbesserungen erhält.

Innerhalb der Prozessorganisation gibt es drei wichtige Rollen:

Process Sponsor: Verantwortlich für den Erfolg des definierten Prozesses (meist CIO).

Process Owner: Verantwortlich für die Aufsetzung des Prozesses und dessen Leistung (Vergleich der Ziele mit Messergebnissen), soll Verbesserungen herausfinden, kann Änderungen im Prozess durchführen (meist Chief Security Officer).

Process Manager: Überwacht den Prozess und stellt sicher, dass die Bedürfnisse des Kunden erfüllt werden. Liefert die Resultate und ist verantwortlich für die Optimierung des Prozesses (meist Division Security Officers).