There is an Open Access version for this licensed article that can be read free of charge and without license restrictions. The content of the Open Access version may differ from that of the licensed version.
Pricing information
Please choose your delivery country and your customer group
Entscheidet sich ein Unternehmen für MSS (Managed Security Service), so ist mit jedem einschlägigen Dienstleister eine Reihe von Vereinbarungen notwendig, die einen geeigneten Rahmen für die Zusammenarbeit schaffen. Hier kann das Regelwerk Itil (IT Infrastructure Library) eine Hilfe sein. Es beschreibt auch einen Prozess des Security-Managements. Die Best Practices für das Security-Management sind im violettfarbenen Band der Itil-Bücher beschrieben. Der Itil-Security-Management-Prozess orientiert sich am sog. Deming-Vorgehen des 'Plan - Do - Check - Act' (Planen, Umsetzen, Kontrollieren, Handeln). Im Security-Management heißt dieser Zyklus 'Plan - Implement - Evaluate - Maintain' (Planen, Implementieren, Evaluieren, Betreiben) und wird zusätzlich um den Prozess 'Control' für die Überwachung erweitert. Itil lässt allerdings offen, welche Maßnahmen sinnvoll sind und wie das Risiko-Management im Einzelnen ausgestaltet werden sollte. Das Regelwerk verweist hier auf andere Standards wie BS 7799 bzw. ISO 17799. Betrachtet man, wie Itil das Outsourcing von Sicherheitsdienstleistungen verbessern kann, ist der Ansatz, Sicherheit als Teil der (IT-)Dienste zu betrachten und alle operativen wie planerischen Prozesse einzubeziehen, von größerem Interesse. Hierbei wird der Prozess zum Management von Security aus der Sicht des IT-Dienstleisters betrachtet. Neben der Integration des Security-Managements in die Service-Level-Management- und Change-Management-Prozesse gemäß Itil sind auch alle anderen Itil-Disziplinen mehr oder weniger stark betroffen. So stellt beispielsweise der Prozess der Verfügbarkeits-Managements nach Itil den Notwendigen und wirtschaftlichen Grad der Verfügbarkeit von IT-Diensten im Normalbetrieb sicher.