The Munich Network Management Team

Dokumentation in einem Informationssicherheits-Managementsystem (ISMS)

Hintergrund der Arbeit
In immer mehr Umfeldern gewinnt das Thema Informationssicherheit an Bedeutung, was nicht zuletzt mit einem steigenden öffentlichen Bewusstsein für Sicherheit und Schutz von Daten und Informationen zusammenhängt. Auch die mediale Aufmerksamkeit ist einem Unternehmen heute sicher, wenn sich beispielsweise herausstellt, dass es nachlässig mit seinen Kundendaten umgeht, oder wenn sicherheitsrelevante Vorfälle zu Ausfällen mit großer geschäftlicher Auswirkung führen. Immer mehr Regelungen und Gesetze (u.a. das IT-Sicherheitsgesetz) verlangen sogar von bestimmten Organisationen den Nachweis, dass sie die Informationssicherheit systematisch managen, d.h. ein wirksames Informationssicherheits-Managementsystem (ISMS) betreiben.

Ein ISMS ist ein System mit zahlreichen Bestandteilen – u.a. Richtlinien, Informationswerte, Maßnahmen, Verantwortlichkeiten – die, um wirksam gesteuert werden zu können, vor allem erst einmal einheitlich dokumentiert sein müssen. Bei der Einführung eines Managementsystems für Informationssicherheit ist es daher auch fast immer unerlässlich, zunächst die bestehenden Elemente, vor allem bereits umgesetzte Sicherheitsmaßnahmen, angemessen zu dokumentieren.

Im Rahmen dieser Arbeit soll ein Konzept für eine effektive, aber auch effiziente Dokumentation von Sicherheitsmaßnahmen und weiteren ISMS-Elementen erstellt werden.

Ziele der Arbeit:

• Modellierung von Zusammenhängen zwischen verschiedenen dokumentierten Elementen in einem ISMS, z.B. Richtlinien, Informationswerten, Risikobewertungen, Sicherheitsmaßnahmen
• Erhebung der Anforderungen an eine ISMS-Dokumentation
• AnfordeGrundkonzept und Informationsmodell für eine strukturierte, effiziente und auditierbare ISMS-Dokumentationrungsanalyse an die Workflow-Modellierung aufgrund der ermittelten Standard-changes und Service Requests
• Kriterienkatalog für Auswahl eines geeigneten Dokumentationswerkzeugs
• Proof of Concept: Erhebung, Analyse, Dokumentation existierender Sicherheitskonzepte und -maßnahmen für einen exemplarischen Dienst des LRZ

Aufgabensteller:
Prof. Dr. Helmut Reiser

Anforderungen:

• Vorlesung IT-Sicherheit, IT-Service Management oder eigene Kenntnisse
• Freude am selbständigen Arbeiten
• Analytische Fähigkeiten, technisches Verständnis, ausgeprägte Leistungs- und Teamorientierung

Dauer der Diplomarbeit bzw. der Masterarbeit: gemäß Studienordnung

Anzahl Bearbeiter: 1

Betreuer:
Stefan Metzger (LRZ)
Dr. Michael Brenner (LRZ)
Bastian Kemmler (LRZ)