Die Anforderungen an die Informationstechnologie (IT) wachsen ständig durch die steigenden Erwartungshaltungen des Marktes an die Unternehmen. In der heutigen Zeit sollen Unternehmen flexibel am Markt agieren können und kundenorientiert handeln. Dies schließt die permanente Verfügbarkeit der IT mit ein. Durch den Einsatz von Informationstechnologie können Unternehmen ihre Kernkompetenzen und in weiterer Folge auch ihre Geschäftsziele optimieren.
Um diesen Anforderungen gerecht zu werden, müssen IT-Risiken auf ein Minimum beschränkt werden. Durch bestimmte IT-Sicherheitsstandards bzw. ITModelle wie CobiT, ITIL und ISO 27002 können diese Risiken vermindert werden und gewisse Bereiche im Unternehmen - wie Entwicklung, Projektmanagement, Überwachung und strategische Planung durch Kontrollen behandelt werden.
Aufgrund der großen Auswahl an Sicherheitsstandards ist es für das Management schwierig zu wissen, mit welchen Standards die verschiedenen Bereiche im Unternehmen abgedeckt werden sollen. Diese Bachelorarbeit soll dem Management oder dem CIO dabei helfen eine Entscheidung zu treffen. Es werden die Best-Practice Beispiele CobiT, ITIL und das Zertifikat ISO 27002 miteinander verglichen und die dabei entstandenen Lücken aufgelistet. Weiters soll diese Bachelorarbeit die Frage: „Wie man mit den entstandenen Lücken des Mappings umgehen soll?“ beantworten.
Inhaltsverzeichnis
1. Einleitung
1.1 Problemstellung
1.2 Zentrale Forschungsfrage
1.3 Forschungsziele
1.4 Aufbau der Arbeit
1.5 Abgrenzung der Arbeit
1.6 Methodenkonzept
1.7 Begriffsbestimmungen
1.7.1 IT-Governance
1.7.2 IT – Risikomanagement
2. Theoretische Grundlagen
2.1 Die verschiedenen Managementsysteme
2.1.1 Internes IT-Kontrollsystem
2.1.2 Information Security Management System
2.2 CobiT
2.2.1 Allgemeines
2.2.2 Framework
2.3 IT Infrastructure Library (ITIL)
2.3.1 Allgemeines
2.3.1 Die fünf ITIL Bücher
2.4 ISO 27002
3. Mapping von CobiT mit ITIL und ISO 27002
3.1 Mapping-Regeln
3.2 Detailed Mapping
3.2.1 CobiT ~ ITIL
3.2.2 CobiT ~ ISO 27001
3.3 Auflistung der entstandenen Lücken bei dem Mapping
3.4 Wie geht man als Unternehmen mit den entstandenen Lücken um
4. Fazit
Zielsetzung & Themen
Die Arbeit untersucht und vergleicht die IT-Frameworks CobiT, ITIL und ISO 27002 im Kontext der IT-Governance, um dem Management eine Entscheidungshilfe für die Auswahl geeigneter Standards zu bieten und methodische Lücken in der Abdeckung aufzuzeigen.
- Vergleich der Sicherheitsstandards CobiT, ITIL und ISO 27002
- Analyse von IT-Governance und IT-Risikomanagement
- Durchführung eines High-Level und Detailed Mappings der Standards
- Identifikation und Bewertung von Deckungslücken zwischen den Modellen
- Empfehlungen für den unternehmerischen Umgang mit identifizierten Lücken
Auszug aus dem Buch
1.1 Problemstellung
Der steigende Einsatz von Informationstechnologie in der heutigen Wirtschaft stellt besondere Anforderungen an Unternehmen. Für die Organisationen ist es wichtig, dass die IT Ziele mit den Unternehmenszielen abgestimmt sind. Durch die hohe Flexibilität und die damit verbundenen Konfigurationen an den IT relevanten Prozessen kann es zu gewissen IT-Sicherheitslücken kommen. Mit Hilfe von Standards können etwaige Probleme im Vorfeld ausgeschlossen werden. Standards helfen notwendige Bereiche im Unternehmen abzudecken und stellen Leitfäden für Konfigurationen oder Einführungen bereit.
Für die Organisation ist es wichtig, jene Bereiche individuell umzusetzen, die zur optimalen Unterstützung der Unternehmensziele dienen. Dies kann aber von Branche zu Branche variieren. So legt ein Bankunternehmen auf andere Bereiche Wert, als ein Marketingunternehmen. Diese Gebiete gilt es zu identifizieren und danach sollte ein Modell ausgewählt werden, das die Bereiche in optimalem Umfang und Detaillierungsgrad unterstützt. Aufgrund der vielen verschiedenen IT-Standards, die am Markt etabliert sind, ist es für das Management oft nicht leicht zu erkennen, welche Anforderungen durch welche Standards abgedeckt werden und inwieweit sich Modelle überlappen.
Da ein wesentlicher Bestandteil einer Wirtschaftsprüfung auch die Überprüfung der Sicherheit ausgewählter Softwareapplikationen darstellt, ist die Einführung eines gewissen IT-Standards unabdingbar. Mit der Einführung eines IT Standards bzw. Rahmenwerkes wie CobiT 4.0, ITIL oder durch das ISO 27001 Zertifikat können gewisse Synergien gezogen werden. Einerseits hat das Unternehmen eine gewisse Sicherheit in der Benutzung ihrer Software, andererseits können IT-Prüfungen schneller abgehandelt werden und ersparen so dem Unternehmen hohe Kosten. Da es mehrere Standards gibt und die Inhalte nicht auf den ersten Blick vergleichbar sind, können Probleme bei der Auswahl auftreten.
Zusammenfassung der Kapitel
1. Einleitung: Beschreibt die Relevanz der IT-Sicherheit und definiert die zentrale Forschungsfrage hinsichtlich der Vergleichbarkeit von Sicherheits-Rahmenwerken.
2. Theoretische Grundlagen: Erläutert Managementsysteme wie IKS und ISMS sowie die Frameworks CobiT, ITIL und ISO 27002 als Basis für den späteren Vergleich.
3. Mapping von CobiT mit ITIL und ISO 27002: Führt ein methodisches High-Level und Detailed Mapping durch, um die Abdeckung von CobiT durch die anderen Standards zu bewerten.
4. Fazit: Fasst die Ergebnisse zusammen und gibt eine Empfehlung, wie Organisationen verschiedene Standards kombinieren können, um Lücken zu schließen.
Schlüsselwörter
IT-Governance, IT-Risikomanagement, CobiT, ITIL, ISO 27002, IT-Sicherheit, Mapping, Prozessmanagement, IT-Kontrollsystem, Strategie, Informationssicherheit, Unternehmensziele, Standards, Risikobeurteilung, Best-Practice
Häufig gestellte Fragen
Worum geht es in der Arbeit grundsätzlich?
Die Arbeit befasst sich mit dem Vergleich von IT-Sicherheitsstandards und deren Beitrag zur IT-Governance sowie zum IT-Risikomanagement in Unternehmen.
Was sind die zentralen Themenfelder?
Die zentralen Themen sind CobiT, ITIL und ISO 27002, deren Struktur, Einsatzgebiete und die methodische Gegenüberstellung (Mapping) dieser Frameworks.
Was ist das primäre Ziel der Forschungsfrage?
Das Ziel ist es, Lücken bei dem Vergleich der genannten Sicherheits-Rahmenwerke zu identifizieren und aufzuzeigen, wie Unternehmen mit diesen Lücken umgehen können.
Welche wissenschaftliche Methode wird verwendet?
Es handelt sich um eine Literaturarbeit, die auf einem methodischen Vergleich und Mapping-Ansatz basiert, wobei Information Requirements und Control Objectives gegenübergestellt werden.
Was wird im Hauptteil behandelt?
Der Hauptteil gliedert sich in theoretische Grundlagen, das Mapping der drei Standards sowie eine detaillierte Analyse der Lücken und Lösungsvorschläge für das Management.
Welche Schlüsselwörter charakterisieren die Arbeit?
IT-Governance, IT-Risikomanagement, CobiT, ITIL, ISO 27002, Prozessmanagement und IT-Sicherheit bilden den inhaltlichen Kern.
Warum ist das "Detailed Mapping" wichtiger als das "High-Level Mapping"?
Das Detailed-Mapping ist wesentlich aussagekräftiger, da es einzelne Control Objectives detailliert vergleicht, während das High-Level Mapping nur eine grobe Übersicht auf Domänenebene bietet.
Welchen Rat gibt der Autor für die Auswahl der Standards?
Der Autor empfiehlt eine Kombination der Standards: Wer Servicequalität steigern will, sollte mit ITIL beginnen, während bei einem Fokus auf Governance CobiT als Startpunkt sinnvoll ist.
Wie unterscheidet sich die Zielsetzung von ISO 27001 von ITIL?
ISO 27001 dient primär als Checkliste für strategische Sicherheitsrisiken, während ITIL ein prozessorientiertes Rahmenwerk zum Schutz gegen operationale Risiken darstellt.
- Arbeit zitieren
- Timo Casanova (Autor:in), 2012, Vergleich von Risikomanagementansätzen im IT-Governance, München, GRIN Verlag, https://www.grin.com/document/215933
