3.2.2. Domäne zwei: “Information Security Processes”

In der zweiten Domäne, „Information Security Processes“ werden die definierten Security-Prozesse „Guidance und Governance“, „Security Operations“ und „Information Risk Management“ abgebildet.

Der Ansatz zum Information-Risk-Management wird zunächst übersichtsartig und später in Kapitel 3.4 ausführlich beschrieben. Zur Erhöhung der Akzeptanz ist er einfach gegliedert und besteht aus folgenden Teil-Prozess-Schritten:

1. Identifizierung und Analyse
2. Definition von Gegenmaßnahmen
3. Aktionsplan und Implementierung der Gegenmaßnahmen
4. Überwachung und Kontrolle

Hinter dem Schritt der Risiko Identifizierung verbergen sich eine ganze Reihe von Einzelschritte, die später beschrieben werden. Die Identifizierung und Analyse liefert nach Abschluss ein bewertetes Risiko, das einem „Informations-Object“ und einem „Risk-Owner“ zugeschrieben werden kann. Im Schritt zwei werden potentielle Gegenmaßnahmen definiert, die aus verschiedenen organisatorischen und technischen Maßnahmen bestehen. Beim Übergang zum Aktionsplan wird entschieden, ob die vorgeschlagenen Maßnahmen implementiert werden. Die Entscheidung wird als „Steering Decison“ getroffen (siehe Kapitel 3.3.2) und stellt Nutzen und Aufwände gegenüber (siehe Kapitel 3.5). Die Effizienz der Maßnahme wird nach Abschluss bzw. nach einiger Zeit kontrolliert, ob der erwartete risikominierende Effekt tatsächlich eingetreten ist. Obwohl der hier dargestellte Prozess lediglich aus vier Schritten besteht, genügt dieser den Anforderungen an ein effizientes Risiko-Management, wie diese z.B. von Proctor, 2010 gefordert wird.

Die Prozesse der Information-Security werden an das klassische IT Service-Management angelehnt (siehe Abbildung 4). Als Kern wurden fünf Hauptprozesse mit klarem Servicecharakter definiert, die leicht kommunizierbar sind:

• Implementierung von globalen Produkten und Services für die Informationssicherheit.
• Beratung von Projekten unter Beachtung definierter Standards der Informationssicherheit.
• Review und Inspektion von Standorten und Gesellschaften im Sinne der klassischen IT-Security auf Anfrage.
• Beratung zur Bewertung des Schutzbedarfes und der Datenklassifizierung.
• Unterstützung der internen zentralen Revision bei regulären Audits.

Diese Service-Prozesse werden durch Governance Aufgaben ergänzt, die keinen operativen Charakter haben und von den Service-Prozessen unterschieden werden müssen.

Zu den Kernaufgaben der „Information-Security Guidance and Governance“ gehören:

• Bereitstellung von klaren Vorgaben und Richtlinien für die Informationssicherheit in der VR China (Policy Development).
• Regelung von Ausnahmen (Conflict Consiliation or Arbitration).
• Definition von Anforderungen an die Information-Security unterstützenden technische Systeme (Architecture).
• Kontakt mit Aufsichtbehörden und externen Prüfern.
• Implementieren von notwendigen Kontrollen in Geschäftsprozesse (Process Control).
• Schaffung einer Awareness für Information-Security (Communication and Awareness)

Die Trennung in Service- und Governance-Aufgaben vereinfacht die Aufgabestellung der damit betrauten Teile der Organisation und vermeidet Interessenkonflikte. Wichtig ist es, Rollen, Aufgaben und Verantwortlichkeiten zu definieren und eine Organisationsform zu wählen, die die scheinbar widersprüchlichen Anforderungen von Governance- und Service-Aufgaben bewältigen kann. Hierzu ist das in Kapitel 3.3.2 vorgestellte „RACI-Model“ ein geeignetes Werkzeug. Die Aufgaben der Information-Governance werden ausführlicher in Kapitel 3.3 vorgestellt.