|
|
 |
 |
|
 CobiT- Systemsicherheitsprozess
| CobiT - Authentisierung
|
CobiT - andere Prozesse |
| |
|
|
|
Neben dem Systemsicherheitsprozess gibt es noch einige andere Prozesse, die mit IT-Sicherheit zu tun haben.
|
Bestimmung der technologischen Richtung |
Die Planung und Organisation enthält die Bestimmung der technologischen Richtung.
Ein Kontrollziel dieses Prozesses ist die verpflichtende Überwachung zukünftiger Trends und Vorschriften um neuere Entwicklungen nicht zu übersehen, damit rechtzeitig Infrastruktur schaffen zu können und damit am Trend antizipieren zu können.
Ziele und Leistungsindikatoren sind unter anderem Interoperabilität und Flexibilität von Anwendungen und Infrastruktur, Budget für Infrastruktur, auch die Anzahl von Einzellösungen. Entscheidender Erfolgsfaktor ist die Erstellung und laufende Wartung und Adaptierung des IT-Infrastrukturplanes an aktuelle Entwicklungen und gesetzlichen Vorgaben.
|
Einhaltung von externen Anforderungen |
Dieser Prozess übersetzt die allgemeine Anforderung der Compliance in CobiT Kontrollziele und Managementguidelines.
Kontrollziele fokussieren auf Einhaltung von Gesetzen, Rechten sowie notwendiger Sicherheit bei der Gestaltung von Kommunikation und Transaktionen sowie bei der Datenspeicherung.
Durch Compliance-Reviews sollte die Anzahl aufkommender Probleme vertraglicher oder gesetzlicher Hinsicht reduziert werden. Ebenso sind die Zeit Compliance-Themen umzusetzen und Kosten für Nicht-Compliance Erfolgsindikatoren. Erfolgsfaktoren sind neben Reviews und laufende Überwachung von Compliance Themen.
|
Risikobeurteilung und Bericht |
Die Prozesse der Risikobeurteilung betrachten verschiedene Arten von IT-Risiken (Technologie, Sicherheit, Kontinuität, Regulative, usw.) und fordern definierte und kommunizierte Risikotoleranz-Profile, sowie strukturierte Ursachenanalyse und Brainstorming-Methoden, quantitative und qualitative Risikobemessung zur Risikobewertung, sowie einen Risiko-Aktionsplan und rechtzeitige Risiko-Neubewertung.
Damit konform soll bei der Systementwicklungsmethode bei jedem Projekt eine Analyse und Dokumentation der Sicherheitsbedrohungen, Schwachstellen, der Auswirkungen und möglichen Schutzmassnahmen erstellt werden. Damit soll identifiziertes Risiko reduziert oder eliminiert werden.
Ziel und Leistungsindikatoren sind: weniger Vorfälle und der Grad des vorhandenen Sicherheitsbewusstseins, Anzahl der entdeckten und reduzierten Risiken sowie deren Kosteneffizienz. Leistungsfaktoren sind klare Richtlinien und definierte Verantwortlichkeiten sowie Mittel und Wege zur Durchsetzung der Analyse und der daraus abgeleiteten Maßnahmen.
|
Verwaltung von Daten |
Das Management von Daten muss die Vollständigkeit, Genauigkeit und Gültigkeit der Informationen gemäß den Geschäftsanforderungen sicherstellen. Dazu sind auch die Sicherstellung von Authentizität, Integrität sowie die Vertraulichkeit von sensitiven Information im gesamten Lebenszyklus der Information notwendig. Einige Kontrollziele haben ebendiese Sicherheitsziele bei elektronischer Verarbeitung und Transport als Thema.
Ziel und Leistungsindikatoren sind neben Verfügbarkeit und Richtigkeit der angediehene Schutz der sensitiven Daten bzw. wie oft er versagt hat, und ob Compliance-Themen erfüllt werden.
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum