The Munich Network Management Team

Konzeption und Anwendung eines zertifizierbaren integrierten (IT-)Service- und Informationssicherheits-Managementsystems nach ISO/IEC 20000-1 und ISO/IEC 27001

Motivation und Hintergrund

Viele IT-Organisationen streben neben einer Zertifizierung ihres Service Management Systems nach ISO/IEC 20000-1 auch eine Zertifizierung ihrer Informationssicherheits-Architektur nach ISO/IEC 27001 an. Dabei lassen sich in beiden Standards einige Parallelen finden, die eine gemeinsame Einführung beider Standards erleichtern.

Mit einer integrierten Implementierung beschäftigt sich jedoch nur der Standard ISO/IEC 27013. Dieser identifiziert Themen, die in beiden Standards (ISO/IEC 20000-1 und ISO/IEC 27001) entweder identisch sind, sich überlappen ("some overlap") oder spezifisch nur für einen der beiden Standards gelten. Allerdings liefert ISO/IEC 27013 als informativer Standard lediglich eine sehr generische Anleitung zur Integration von IT Service Management und Informationssicherheits-Management in ein einziges, konsistentes Managementsystem. Normative und entsprechend zertifizierbare Vorgaben / Anforderungen werden nicht konkret formuliert.

Hinzu kommt, dass in der gängigen Zertifizierungspraxis für Managementsysteme lediglich die volle Konformität zu den entsprechenden Managementsystem-Standards auditiert wird. Mehrstufige Ansätze sind derzeit nicht etabliert. Gleichzeitig könnte eine Zertifizierung in mehreren Stufen aber für viele Organisationen ein Anreiz sein, Managementsysteme überhaupt zu etablieren. Durch Auditierung und Zertifizierung auf unterschiedlichen Stufen könnte der Weg zur vollen Konformität (verbunden mit einem entsprechend hohen Reifegrad) erleichtert und begleitet werden.

Aufgabenstellung

Ziel dieser Arbeit ist es, auf der Grundlage der oben genannten Standards die konsolidierten Anforderungen an ein integriertes (IT-)Service- und Informationssicherheits-Managementsystem zu identifizieren, auf dieser Basis ein mehrstufiges Prüf- und Zertifizierungsschema zu entwickeln und unterstützende Referenzdokumente zur praktischen Anwendung exemplarisch zu entwickeln.

Folgende Teil-Fragestellungen sollen durch die Arbeit adressiert bzw. beantwortet werden:

• Welche bestehenden Ansätze gibt es im Zusammenhang mit der integrierten Implementierung eines (IT-)Service- und Informationssicherheits-Managementsystems? Worin unterscheiden sie sich? Welche Fragen lassen sie offen?
• Wie müsste ein (einziger) normativer Standard aussehen, der Anforderungen an ein integriertes (IT-)Service- und Informationssicherheits-Managementsystem spezifiziert? Welche Komposition aus Anforderungen aus ISO/IEC 20000-1 und ISO/IEC 27001 würde sich in einem solchen Standard wiederfinden?
• Wie könnte ein mehrstufiges Prüf- und Zertifizierungsschema zur Anwendung auf Managementsysteme konkret aussehen? Wie viele Stufen bieten sich an? Welche Anforderungen der konsolidierten Anforderungsmenge würden welcher Stufe zugeordnet werden?
• Welche Hilfestellung durch Vorlage-Dokumente (Templates) wird benötigt, um die Etablierung eines entsprechenden Managementsystems zielführend zu unterstützen?
• Wie lässt sich zeigen, dass das Gesamtkonzept schlüssig und praktisch anwendbar ist?

Mögliches Vorgehen

• Literatur-Recherche zur integrierten Implementierung von Managementsystemen, speziell in den Bereichen IT Service Management und Management der Informationssicherheit
• Fundierte und strukturierte Anforderungsanalyse und -konsolidierung auf Basis existierender Standards zur Identifikation der normativen Vorgaben zum Erreichen von Konformität mit ISO/IEC 20000-1 und ISO/IEC 27001 durch ein einziges integriertes Managementsystem
• Definition eines pragmatischen, mehrstufigen Prüf- und Zertifizierungsschemas für integierte (IT-)Service- und Informationssicherheits-Managementsysteme einschließlich Zuordnung der identifizierten Anforderungen zu den einzelnen Stufen
• Entwicklung von Referenz-Dokumenten (Artefakten) zur Unterstützung der Anwendung des integrierten Standards - Schwerpunkt: Vorlagen (Templates)
• Exemplarische Instanziierung der Referenz-Vorlagen unter Anwendung des integrierten Standards in einem fiktiven oder realen Anwendungskontext
• Abschließende Evaluation und Ausblick auf mögliche Folgearbeiten

Aufgabensteller: Prof. Dr. Dieter Kranzlmüller

Anforderungen: Kenntnisse in den Bereichen IT Service Management und Informationssicherheits-Management

Dauer der Masterarbeit: 6 Monate

Anzahl Bearbeiter: 1

Betreuer: Dr. Thomas Schaaf