Organisationen setzen häufig einen Sicherheitskontrollrahmen ein, um ihre rechtlichen und behördlichen Compliance-Bemühungen zu unterstützen. Einige Beispiele für relevante Sicherheitsframeworks sind die folgenden:
- COBIT. COBIT wurde von der Information Systems Audit and Control Association (ISACA) und dem IT Governance Institute (ITGI) entwickelt und besteht aus mehreren Komponenten, darunter dem
- Framework. Organisiert IT-Governance-Ziele und Best Practices.
- Prozessbeschreibungen. Stellt ein Referenzmodell und eine gemeinsame Sprache bereit.
- Kontrollziele. Dokumentiert übergeordnete Managementanforderungen zur Steuerung einzelner IT-Prozesse.
- Verwaltungsrichtlinien. Werkzeuge zum Zuweisen von Verantwortung, zum Messen der Leistung und zum Darstellen von Beziehungen zwischen Prozessen.
- Reifegradmodelle. Beurteilen Sie die organisatorische Reife / Fähigkeit und adressieren Sie Lücken.
Das COBIT-Framework ist in Organisationen beliebt, die dem Sarbanes-Oxley Act unterliegen.
- NIST (Nationales Institut für Standards und Technologie) Sonderveröffentlichung 800-53: Sicherheits- und Datenschutzkontrollen für föderale Informationssysteme und Organisationen. Dieses als NIST SP800-53 bekannte System ist ein sehr beliebtes und umfassendes Kontrollsystem, das von allen US-Regierungsbehörden gefordert wird. Es ist auch in der privaten Industrie weit verbreitet.
- COSO (Ausschuss der Sponsoring-Organisationen der Treadway-Kommission). Entwickelt vom Institute of Management Accountants (IMA), der American Accounting Association (AAA), dem American Institute of Certified Public Accountants (AICPA), dem Institute of Internal Auditors (IIA) und Financial Executives International (FEI), dem COSO-Framework besteht aus fünf Komponenten:
- Kontrollumgebung. Liefert die Grundlage für alle anderen internen Steuerungskomponenten.
- Risikobewertung. Definiert Ziele durch Identifikation und Analyse der relevanten Risiken und bestimmt, ob etwas die Organisation daran hindern wird, ihre Ziele zu erreichen.
- Kontrollaktivitäten. Richtlinien und Verfahren, die erstellt werden, um die Einhaltung von Verwaltungsrichtlinien sicherzustellen. In den anderen Kapiteln dieses Buches werden verschiedene Kontrollaktivitäten diskutiert.
- Information und Kommunikation. Gewährleistet angemessene Informationssysteme und effektive Kommunikationsprozesse in der gesamten Organisation.
- Überwachung. Aktivitäten, die die Leistung über die Zeit bewerten und Mängel und Korrekturmaßnahmen identifizieren.
- ISO / IEC 27002 (Internationale Organisation für Normung / Internationale elektrotechnische Kommission). Formell mit dem Titel "Informationstechnologie - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitsmanagement" dokumentiert ISO / IEC 27002 bewährte Sicherheitsverfahren in 14 Domänen wie folgt:
- Informationssicherheitsrichtlinien
- Organisation der Informationssicherheit < Personalsicherheit
- Asset Management
- Zugriffskontrolle und Benutzerzugriffsverwaltung
- Kryptographische Technologie
- Physikalische Sicherheit der Standorte und Anlagen der Organisation
- Betriebssicherheit
- Sichere Kommunikation und Datenübertragung > Systemakquise, -entwicklung und -unterstützung von Informationssystemen
- Sicherheit für Lieferanten und Dritte
- Informationssicherheits-Incident Management
- Informationssicherheitsaspekte des Business Continuity Managements
- Compliance
-
- ITIL (Bibliothek für Informationstechnologieinfrastruktur).
- Service Strategy. Bezieht sich auf IT-Services-Strategiemanagement, Serviceportfoliomanagement, IT-Services-Finanzmanagement, Nachfragemanagement und Geschäftsbeziehungsmanagement.
- Dienstentwurf. Behandelt Designkoordination, Servicekatalogverwaltung, Service Level Management, Verfügbarkeitsmanagement, Kapazitätsmanagement, IT-Service-Continuity-Management, Informationssicherheits-Managementsystem und Lieferantenmanagement.
- Serviceübergang. Bezieht sich auf Übergangsplanung und -unterstützung, Änderungsmanagement, Service-Asset- und Konfigurationsmanagement, Freigabe- und Bereitstellungsverwaltung, Servicevalidierung und -prüfung, Änderungsbewertung und Wissensmanagement.
- Dienstbetrieb. Behandelt die Ereignisverwaltung, die Verwaltung von Vorfällen, die Erfüllung von Serviceanforderungen, das Problemmanagement und die Zugriffsverwaltung.
- Kontinuierliche Serviceverbesserung. Definiert einen siebenstufigen Prozess für Verbesserungsinitiativen, einschließlich der Identifizierung der Strategie, der Definition dessen, was gemessen wird, der Erfassung der Daten, der Verarbeitung der Daten, der Analyse der Informationen und Daten, der Präsentation und Nutzung der Informationen und der Implementierung der Verbesserung.
