Computerwelt: Aktuelle IT-News Österreich


10.05.2013 :: Printausgabe 10/2013 :: Gerd Brunner* ++Premium Content

Neue Version Cobit 5 unterstützt Security nach ISO 27001

Regelwerk COBIT 5 schlägt die Brücke zu den ISO-Standards

Gerd Brunner, CIS

Gerd Brunner, CIS

© Gerd Brunner





Noch vor wenigen Jahren galt COBIT als IT-Audit-Instrument aus Sicht der Wirtschaftsprüfer. In seiner aktuellen Version versteht sich COBIT 5 mittlerweile als ausgereiftes Modell zur Unterstützung der unternehmensweiten Governance und des IT-Managements. Durch seine deutliche Ausrichtung an ISO-Standards lässt sich COBIT 5 auch besser als seine Vorgängerversionen integrieren. Aus Sicht der Informationssicherheit unterstützt COBIT 5 die Einführung von Managementsystemen nach ISO 27001 – durch inhaltliche Überschneidungen sowie eine verbesserte Ausrichtung auf Business-Prozesse und Unternehmensziele. Bei mehr als 20.000 Unternehmen, die weltweit nach ISO 27001 zertifiziert sind, bietet dies einen enormen Vorteil. Noch deutlichere Synergien ergeben sich mit IT-Service-Management nach ISO 20000. Unternehmen, die nach dem Governance-Regelwerk arbeiten, können bei der ISO-27001- und ISO-20000-Implementierung vorhandene Strukturen nutzen und rascher zur Zertifizierungsreife gelangen. Folgende Synergien werden berichtet:

  • IT-Security-Policy ist vorhanden und nur anzupassen
  • Sensibilisierung des Managements ist bereits gegeben
  • Anforderungen an einen sicheren Betrieb sind definiert
  • Change-/ Incident-Management sind teilweise umgesetzt.


NEUERUNGEN IM ÜBERBLICK
Das erklärte Ziel von COBIT 5 ist es, einen optimalen IT-Wert zu generieren, mit einem ausgeglichenen Verhältnis zwischen Nutzenrealisierung, Risikominimierung und Ressourceneinsatz. Dafür wurden neue Strukturen geschaffen: So unterscheidet die aktuelle Version klar zwischen Governance und Management. Governance stellt demnach sicher, dass die Bedürfnisse der Stakeholder bewertet sowie notwendige Direktiven erlassen und kontrolliert werden. Management ist für die Umsetzung zuständig – also Aktivitäten zu planen, zu betreiben und zu überwachen. Die ehemaligen "Control Objectives" wurden durch Governance- oder Management-Practices ersetzt. Neue Verantwortlichkeiten wurden definiert wie COO, CISO, Chief Risk Officer oder Security Manager. Vom einstigen Maturity-Model wurde auf ein Process Capability-Model umgestellt, das auf ISO 15504/SPICE basiert. Ebenso wurde ein praktikables Framework mit 37 Prozessen in fünf Bereichen eingeführt:

  • EDM: Evaluate, Direct, Monitor
  • APO: Align, Plan, Organise
  • BAI: Build, Acquire, Operate
  • DSS: Deliver, Service, Support
  • MEA: Monitor, Evaluate, Assess


VERGLEICH MIT ISO-STANDARDS
Daran lässt sich auch nachvollziehen, dass COBIT 5 unter Berücksichtigung wichtiger Standards – darunter auch ISO 31000 für Riskmanagement oder ISO 38500 für Corporate Governance – entwickelt wurde. Transparent werden die Synergien in der Publikation "COBIT5: Enabling Processes" mit ihrer detaillierten Zuordnung zu relevanten Regelwerken. Von ISO 27001 für Informationssicherheit werden demnach wichtige COBIT-5-Bereiche abgedeckt: Sicherheits- und risikobezogene Prozesse aus APO / DSS / EDM, Security-Aktivitäten aus mehreren Bereichen sowie Überwachungs- und Bewertungsaktivitäten aus MEA. Auch ISO 20000 und ITILv3 werden von zentralen COBIT-5-Bereichen adressiert: Teile der Domänen DSS und BAI sowie Prozesse der Domäne APO. Die inhaltlichen Überschneidungen lassen sich gut nutzen, wenn Unternehmen ein Informationssicherheitssystem nach ISO 27001 oder IT-Service-Management nach ISO 20000 einführen wollen. Zudem liefern auch die in COBIT 5 beschriebenen Good-Practice-Ansätze passende Inhalte für die ISO-Implementierung.

SECURITY-EVENT ZU ISO 27001
Am 04. Juni 2013 laden CIS und Quality Austria in Kooperation mit der COMPUTERWELT in den Kursalon Wien ein. "Standardisierung von Security & Services nach ISO 27001 / ISO 20000: effektiv und transparent" lautet der Titel. Der Themenbogen spannt sich von "Effizienz für Governance, Riskmanagement und Compliance" über "Datensicherheit im E-Government" und "Integration von Cloud-Services in Security-Policies" bis zu "BYOD aus rechtlicher Sicht". Die Keynote hält der finnische Awareness-Forscher Mikko Siponen: "Employees` Compliance with Security Procedures". Anmeldung unter: www.cis-cert.com/Symposium

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Arrow ECS Internet Security AG

    Arrow ECS Internet Security AG WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzwerk-Betriebssysteme, Office Software,... mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr

Hosted by:    Security Monitoring by: