Regelwerk COBIT 5 schlägt die Brücke zu den ISO-Standards [...]
Noch vor wenigen Jahren galt COBIT als IT-Audit-Instrument aus Sicht der Wirtschaftsprüfer. In seiner aktuellen Version versteht sich COBIT 5 mittlerweile als ausgereiftes Modell zur Unterstützung der unternehmensweiten Governance und des IT-Managements. Durch seine deutliche Ausrichtung an ISO-Standards lässt sich COBIT 5 auch besser als seine Vorgängerversionen integrieren. Aus Sicht der Informationssicherheit unterstützt COBIT 5 die Einführung von Managementsystemen nach ISO 27001 – durch inhaltliche Überschneidungen sowie eine verbesserte Ausrichtung auf Business-Prozesse und Unternehmensziele. Bei mehr als 20.000 Unternehmen, die weltweit nach ISO 27001 zertifiziert sind, bietet dies einen enormen Vorteil. Noch deutlichere Synergien ergeben sich mit IT-Service-Management nach ISO 20000. Unternehmen, die nach dem Governance-Regelwerk arbeiten, können bei der ISO-27001- und ISO-20000-Implementierung vorhandene Strukturen nutzen und rascher zur Zertifizierungsreife gelangen. Folgende Synergien werden berichtet:
- IT-Security-Policy ist vorhanden und nur anzupassen
- Sensibilisierung des Managements ist bereits gegeben
- Anforderungen an einen sicheren Betrieb sind definiert
- Change-/ Incident-Management sind teilweise umgesetzt.
NEUERUNGEN IM ÜBERBLICK
Das erklärte Ziel von COBIT 5 ist es, einen optimalen IT-Wert zu generieren, mit einem ausgeglichenen Verhältnis zwischen Nutzenrealisierung, Risikominimierung und Ressourceneinsatz. Dafür wurden neue Strukturen geschaffen: So unterscheidet die aktuelle Version klar zwischen Governance und Management. Governance stellt demnach sicher, dass die Bedürfnisse der Stakeholder bewertet sowie notwendige Direktiven erlassen und kontrolliert werden. Management ist für die Umsetzung zuständig – also Aktivitäten zu planen, zu betreiben und zu überwachen. Die ehemaligen „Control Objectives“ wurden durch Governance- oder Management-Practices ersetzt. Neue Verantwortlichkeiten wurden definiert wie COO, CISO, Chief Risk Officer oder Security Manager. Vom einstigen Maturity-Model wurde auf ein Process Capability-Model umgestellt, das auf ISO 15504/SPICE basiert. Ebenso wurde ein praktikables Framework mit 37 Prozessen in fünf Bereichen eingeführt:
- EDM: Evaluate, Direct, Monitor
- APO: Align, Plan, Organise
- BAI: Build, Acquire, Operate
- DSS: Deliver, Service, Support
- MEA: Monitor, Evaluate, Assess
VERGLEICH MIT ISO-STANDARDS
Daran lässt sich auch nachvollziehen, dass COBIT 5 unter Berücksichtigung wichtiger Standards – darunter auch ISO 31000 für Riskmanagement oder ISO 38500 für Corporate Governance – entwickelt wurde. Transparent werden die Synergien in der Publikation „COBIT5: Enabling Processes“ mit ihrer detaillierten Zuordnung zu relevanten Regelwerken. Von ISO 27001 für Informationssicherheit werden demnach wichtige COBIT-5-Bereiche abgedeckt: Sicherheits- und risikobezogene Prozesse aus APO / DSS / EDM, Security-Aktivitäten aus mehreren Bereichen sowie Überwachungs- und Bewertungsaktivitäten aus MEA. Auch ISO 20000 und ITILv3 werden von zentralen COBIT-5-Bereichen adressiert: Teile der Domänen DSS und BAI sowie Prozesse der Domäne APO. Die inhaltlichen Überschneidungen lassen sich gut nutzen, wenn Unternehmen ein Informationssicherheitssystem nach ISO 27001 oder IT-Service-Management nach ISO 20000 einführen wollen. Zudem liefern auch die in COBIT 5 beschriebenen Good-Practice-Ansätze passende Inhalte für die ISO-Implementierung.
SECURITY-EVENT ZU ISO 27001
Am 04. Juni 2013 laden CIS und Quality Austria in Kooperation mit der COMPUTERWELT in den Kursalon Wien ein. „Standardisierung von Security & Services nach ISO 27001 / ISO 20000: effektiv und transparent“ lautet der Titel. Der Themenbogen spannt sich von „Effizienz für Governance, Riskmanagement und Compliance“ über „Datensicherheit im E-Government“ und „Integration von Cloud-Services in Security-Policies“ bis zu „BYOD aus rechtlicher Sicht“. Die Keynote hält der finnische Awareness-Forscher Mikko Siponen: „Employees` Compliance with Security Procedures“. Anmeldung unter: http://www.cis-cert.com/Symposium
Be the first to comment