Security Governance

		INFO & WISSEN

Ausgehend von der Corporate Governance, welche die Steuerung aller Organisations- und Strukturfragen umfasst, kann man die IT-Governance ableiten. Governance bedeutet im Grunde Steuerung und die IT-Governance umfasst die Verantwortung des Managements, insbesondere auch der Unternehmensleitung, für die Führung und den Aufbau einer Organisationsstruktur und Prozessen, die sicherstellt, dass die IT die Unternehmensziele und Strategien unterstützend umsetzt und erweitert. Darunter fällt auch die Zielausrichtung, Messung und Überwachung der Prozesse.

Bei Betrachtung der IT als wesentlichen Unterstützungsprozess für die Geschäftprozesse wird bald die Bedeutung der Sicherung von Integrität und Verfügbarkeit, sowie der Vertraulichkeit bestimmter Informationen klar. IT-Sicherheitsziele sind demnach ein wesentlicher Teil der Corporate Governance, welcher im Rahmen von IT-Governance betrachtet werden muss. In den Regelwerken für die IT-Governance finden sich vielfach IT-Security-Standards - man spricht auch von Security Governance - der Steuerung der IT-Sicherheit, was ja die eigentliche Aufgabe eines IT-Security-Managements darstellt.

Standards und Gesetze

Die Umsetzung von Security Governance kann man sich von internationalen Standards und Regulatorien anleiten lassen andererseits muss aber auch die jeweilige nationale Gesetzgebung berücksichtigt werden, da diese ebenso erheblichen Einfluss auf die umzusetzenden Punkte ausüben kann.

Die wichtigsten Standards sind:

	ISO 17799 / ISO 27002 : Code of Practice for Information Security Management
	ISO / IEC 15408 : Security Techniques - Evaluation Criteria for IT Security / Common Criteria
	ISO / IEC TR 13335: Information Technology - Guidelines for the Management of IT-Security
	CobiT
	IT-Grundschutzhandbuch : Bundesamt für Sicherheit in der Informationstechnik
	ITIL - IT Infrastructure Library

Weitere Standards und Normen

Weitere Regelwerke, auf die man noch treffen kann: TickIT; NIST 800-14 General accepted principles and practises for Securing Information Technology Systems; COSO Internal Control Integrated Framework; IFAC - International IT Guidelines; EnSEC - Enterprise Security Management, WebTrust, SysTrust, ITSEC - Information Technology Security Evaluation Criteria und Common Criteria for Information Technology Security Evaluation als Vorgänger von ISO / IEC 15408

		GESETZ

Gesetze, Verordnungen und Richtlinien

Je nach Einflusssphäre, in der man sich befindet können auch noch KontraG, Basel II, Bundesabgabenordnung BAO, AktG, DSG, Emittenten Compliance Verordnung, Corporate Governance Codex, Health Insurance Portability and Accountability Act, OECD Principles of Corporate Governance, Sarbanes Oxley Act von 2002, der Gramm Leach Bliley Act aus 1999, der California Database Security Breach Information Act (SB 1386) oder der Federal Information Security Management Act (FISMA) für ein IT Security Governance herangezogen werden.

Gramm Leach Bliley Act

Fordert von Finanzinstitutionen eine niedergeschriebene, umfassende Sicherheitspolitik um die Sicherheit und Vertraulichkeit von den persönlichen Daten der Kunden, die nicht der Öffentlichkeit zugänglich sind, zu gewährleisten.

Health Insurance Portability a. Accountability Act

HIPAA fordert von Anbietern von Gesundheitsdiensten die Sicherheit und die Vertraulichkeit von gesundheitsbezogener Information zu gewährleisten.

Sarbanes Oxley Act

Fordert in der Finanzberichterstattung mehr und strengere Informations- und Offenlegungspflichten betreffend der internen Informationsverarbeitung und -steuerung.