IT-Sicherheit im Rahmen der IT-Governance

IT-Standards COBIT und ISO 27001 kombinieren und Synergie-Effekte nutzen

24.10.2011 | Autor / Redakteur: Dominic Mylo, (ISC)²-zertifizierter CISSP und CISA / Stephan Augsten

In Kombination können die Security-Standards COBIT und ISO 27001 ihre Stärken ausspielen.
In Kombination können die Security-Standards COBIT und ISO 27001 ihre Stärken ausspielen.

COBIT ist ein Rahmenwerk für Sicherheit und Qualität in der Informationstechnik. Als Instrument zur Steuerung und Kontrolle kann es Unternehmen dabei helfen, ihre IT auf das Kerngeschäft auszurichten. Dieser Artikel erläutert den IT-Governance-Standard und die Vorteile einer Kombination mit dem Maßnahmenkatalog ISO/IEC 27001.

Geschäftsführer und IT-Manager sehen sich zunehmend mit der Forderung konfrontiert, anerkannte IT-Standards umzusetzen. Wenn es hierbei um IT-Governance mit Fokus auf IT-Systeme, deren Leistungsfähigkeit und Risikomanagement gehen soll, bietet sich das COBIT-Regelwerk an. Von anderer Seite müssen regulatorische, gesetzliche oder kundenspezifische Sicherheitsanforderungen erfüllt werden.

Nur zu verständlich ist dann die Frage nach den Kosten und möglichen Kombinationsmöglichkeiten von Standards und Normen. Im Folgenden werden das COBIT-Regelwerk und der etablierte Standard für Informationssicherheit ISO/IEC 27001 miteinander verglichen.

Der Fokus liegt dabei auf den in ISO 27001 enthaltenen Sicherheitsanforderungen zu einem Informationssicherheitsmanagements und den relevanten Abschnitten zur Informationssicherheit aus COBIT. Mit diesem Abgleich lassen sich mögliche Synergie-Effekte herausstellen, die bei einer Kombination von COBIT und ISO/IEC 27001 genutzt werden können.

Ergänzendes zum Thema
 

Was ist COBIT?

Cross-divisional security process

Sicherheit als Querschnittsfunktion

COBIT sieht formal nur einen Prozess vor, welcher spezifisch die Informationssicherheit behandelt. Zugleich ordnet das COBIT-Regelwerk der Informationssicherheit eine Querschnittsfunktion zu. Dieses wird dadurch deutlich, dass sich über viele COBIT-Domänen hinweg verteilte Sicherheitsvorgaben finden.

Information Classification

Klassifizierung von Informationen

Vorgaben zur Datenklassifizierung behandelt COBIT nicht als reines Thema der Informationssicherheit. Gemeinsam mit den zu definierenden Schutzklassen für die Datenklassifizierung (in COBIT „Security Levels“) sieht das COBIT-Modell die Klassifizierung von Informationen als Bestandteil der Planung einer Sicherheitsarchitektur („Informationsarchitektur“) vor. Die ISO/IEC 27001 sieht ein dediziertes Control Objective für die Datenklassifizierung vor (7.2 Klassifizierung von Informationen). Dieses definiert Regelungen für die Klassifizierung, sowie die Kennzeichnung von und den Umgang mit Informationen.

Security Awareness

Sicherheitsbewusstsein

Die Security-Prinzipien zum Sicherheitsbewusstsein bindet COBIT in der Domäne „Beschaffung und Implementierung“ ein. Auch hier ordnet COBIT der Informationssicherheit eine Querschnittsfunktion zu. ISO 27001 definiert eine eigene Maßnahme 8.2.2 zur Sensibilisierung, Ausbildung und Schulung für Informationssicherheit. Sicherheitsbewusstsein ist nach der ISO/IEC 27001 ein Bestandteil der Personalsicherheit während der Anstellungsphase.

Inhalt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2053218 / Standards)