Archiv
13.06.2013

Neuer Cobit 5 unterstützt Security nach ISO 27001

Die aktuelle Version des Governance-Regelwerkes COBIT 5 schlägt eine Brücke zu den relevanten ISO-Standards im IT-Bereich. Durch ausgeprägte inhaltliche Synergien und Anknüpfungspunkte unterstützt COBIT 5 die Einführung von ISO 27001 für Informationssicherheit und ISO 20000 für IT-Service-Management. Ein Beitrag von Gerd Brunner, Auditor der Zertifizierungsorganisation CIS.

Noch vor wenigen Jahren galt COBIT als methodischer Prüfansatz für IT-Prozesse aus Sicht der Wirtschaftsprüfer. In seiner aktuellen Version versteht sich COBIT 5 als ausgereiftes Modell zur Unterstützung bei der Implementierung der unternehmensweiten Governance und des IT-Managements. Durch seine Ausrichtung an relevanten Regelwerken und ISO-Standards lässt sich COBIT 5 besser als seine Vorgängerversionen integrieren. Aus Sicht der Informationssicherheit unterstützt
COBIT 5 die Implementierung eines Managementsystems nach ISO 27001 durch inhaltliche Überschneidungen sowie eine verbesserte Ausrichtung auf Business Prozesse und Unternehmensziele. Noch ausgeprägtere Synergien ergeben sich mit IT-Service-Management nach ISO 20000.

Vorhandene Strukturen nutzen
Unternehmen, die bereits nach COBIT arbeiten, können bei der ISO-27001- und ISO-20000-Implementierung vorhandene Strukturen nutzen und vergleichsweise rasch zur Zertifizierung gelangen. Diese Synergien werden von Unternehmen berichtet:
• IT-Security-Policy ist bereits vorhanden und nur anzupassen.
• Sensibilisierung des Managements ist gegeben.
• Anforderungen an einen sicheren Betrieb sind definiert.
• Change-/ Incident-Management sind teilweise umgesetzt.

Neurungen im Überblick: Governance und Management
Das Ziel von COBIT 5 ist es, einen optimalen IT-Wert zu generieren, indem ein ausgeglichenes Verhältnis zwischen Nutzenrealisierung, Risikominimierung und Ressourceneinsatz angestrebt wird. So schafft COBIT 5 eine klare Unterscheidung zwischen Governance und Management. Governance stellt demnach sicher, dass die Bedürfnisse und Bedingungen der Stakeholder bewertet sowie notwendige Direktiven erlassen und kontrolliert werden. Management ist für die Umsetzung zuständig – also notwendige Aktivitäten zu planen, zu betreiben und zu überwachen. Die in vorherigen COBIT-Versionen definierten „Control Objectives“ wurden durch Governance- oder
Management-Practices ersetzt. Neue Verantwortlichkeiten wurden definiert, wie etwa COO, CISO, Chief Risk Officer oder Security Manager. Vom Maturity Model in COBIT 4.1 wurde in COBIT 5 auf ein Process Capability Model umgestellt, das auf dem Standard ISO 15504 (SPICE) basiert. Ebenso wurde ein neues Prozessframework eingeführt, welches 37 Prozesse in fünf Bereichen beinhaltet: 
• EDM: Evaluate, Direct, Monitor – Evaluieren / Überwachen
• APO: Align, Plan, Organise – Anpassen / Organisieren
• BAI: Build, Acquire, Operate – Aufbauen / Implementieren
• DSS: Deliver, Service, Support – Bereitstellen / Unterstützen
MEA: Monitor, Evaluate, Assess – Überwachen / Beurteilen

Vergleich mit ISO-Standards
COBIT 5 wurde unter Berücksichtigung wichtiger Standards und Rahmenwerke entwickelt. In der Publikation „COBIT 5: Enabling Processes“ findet sich eine Zuordnung der COBIT-5-Prozesse zu relevanten Standards wie etwa ISO 31000 für Riskmanagement oder ISO 38500 für Corporate Governance. Von ISO 27001 für Informationssicherheit werden demnach folgende COBIT-5-Bereiche abgedeckt:
• Sicherheits- und Risikobezogene Prozesse der Domänen APO, DSS, EDM
• Security-Aktivitäten aus Prozessen anderer Domänen
• Überwachungs-/ Bewertungsaktivitäten der Domäne MEA

Folgende COBIT-5-Bereiche werden von ISO/IEC 20000 ITIL V3 adressiert:
• Teilmenge der Domäne DSS: Deliver, Service, Support
• Teilmenge der Domäne BAI: Build, Acquire, Operate
• Einige Prozesse der Domäne APO: Align, Plan, Organise

Zusammenfassung
COBIT 5 hat sich von einem Audit- zu einem Governance-Framework entwickelt. Gerade wenn man dabei ist, ein Informationssicherheits-Managementsystem nach ISO 27001 oder ein IT-Service-Managementsystem nach ISO 20000 im Unternehmen zu etablieren, lassen sich die inhaltlichen Überschneidungen hervorragend nutzen. Darüber hinaus liefern auch die im COBIT-5-Framework beschriebenen Good-Practice-Ansätze passende Inhalte für die Implementierung.

Gerd Brunner ist Auditor für Informationssicherheit bei der Zertifizierungsorganisation CIS. Zudem steht er im Rahmen seines privatwirtschaftlichen Engagements Unternehmen auf organisatorischer wie technischer Ebene beratend zur Seite.