SP7: Gewährleisten der Sicherheit: Unterschied zwischen den Versionen

Aus YaSM Service-Management-Wiki
Keine Bearbeitungszusammenfassung
 
Keine Bearbeitungszusammenfassung
 
(17 dazwischenliegende Versionen derselben Benutzerin werden nicht angezeigt)
Zeile 1: Zeile 1:
<itpmch><title>SP7: Gewährleisten der Sicherheit | YaSM Service-Management-Wiki</title>
<itpmch><title>SP7: Gewährleisten der Sicherheit | YaSM-Wiki</title>
<meta name="keywords" content="sicherheit gewährleisten als service provider, yasm sicherheits-management, yasm security management, service management security prozess" />
<meta name="keywords" content="sicherheit gewährleisten als service provider, yasm sicherheits-management, yasm security management, service management security prozess" />
<meta name="description" content="YaSM-Prozess: Gewährleisten der Sicherheit (SP7). - Definition, Sub-Prozesse, Prozess-Outputs, Prozess-Kennzahlen und Rollen." />
<meta name="description" content="Der Security-Management-Prozess in YaSM garantiert die Sicherheit der vom Service-Provider gemanagten Service-Palette und gleicht die Sicherheitserfordernisse des Service-Providers mit denjenigen der Kunden an." />
<meta property="og:url" content="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit" />
<meta property="og:title" content="SP7: Gewährleisten der Sicherheit | YaSM Service-Management-Wiki" />
<meta property="og:description" content="Der Security-Management-Prozess in YaSM garantiert die Sicherheit der vom Service-Provider gemanagten Service-Palette und gleicht die Sicherheitserfordernisse des Service-Providers mit denjenigen der Kunden an." />
<meta property="og:site_name" content="YaSM Service Management">
<meta property="og:type" content="article" />
<meta property="og:image" content="https://yasm.com/wiki/de/img/yasm-prozess/16x9/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" />
<meta property="og:image:width" content="1200" />
<meta property="og:image:height" content="675" />
<link href="https://plus.google.com/100916307096177053362/posts" rel="publisher" />
</itpmch>
</itpmch>
<html><div itemscope="itemscope" itemtype="https://schema.org/WebPage"><!-- define schema.org/WebPage --><p>
<html><div class="noresize"><a href="https://yasm.com/wiki/en/index.php/SP7:_Ensure_security"><img src="https://yasm.com/wiki/de/img/yasm-wiki/YaSM-Wiki-English.png" width="210" height="54" style="float:right;" alt="in English" title="This page in English" /></a></div><br style="clear:both;"/>
<a href="https://yasm.com/wiki/en/index.php/SP7%3A%20Ensure%20security"><img src="https://yasm.com/wiki/de/img/yasm-wiki/yasm-wiki-english.png" width="48" height="30" style="float:right;" alt="in English" title="This page in English" /></a><br style="clear:both;"/>
<p>&nbsp;</p>
<p>&nbsp;</p>
<p><b>Prozessname:</b> <a href="#Prozess-Beschreibung" title="SP7: Gewährleisten der Sicherheit - Prozess-Beschreibung">Gewährleisten der Sicherheit</a> - <b>Teil von</b>: <a itemprop="isPartOf" href="https://yasm.com/wiki/de/index.php/YaSM-Prozesse#unterstuetzende-service-management-prozesse" title="YaSM unterstützende Service-Management-Prozesse">Unterstützende Service-Management-Prozesse</a></p>
<p><b>Vorhergehender Prozess:</b> <a href="https://yasm.com/wiki/de/index.php/SP6%3A%20Managen%20von%20Projekten" title="SP6: Managen von Projekten">Managen von Projekten</a></p>
<p><b>Nächster Prozess:</b> <a href="https://yasm.com/wiki/de/index.php/SP8%3A%20Vorbereiten%20auf%20Katastrophen-Ereignisse" title="SP8: Vorbereiten auf Katastrophen-Ereignisse">Vorbereiten auf Katastrophen-Ereignisse</a></html>


<p><b>Prozessname:</b> <a href="#Prozess-Beschreibung">Gewährleisten der Sicherheit</a> - <b>Teil von:</b> <a href="/wiki/de/index.php/Service-Management-Prozesse#Unterst.C3.BCtzende_Prozesse" title="Die unterstützenden Prozesse in YaSM Service-Management">Unterstützende Prozesse</a>
</p><p><b>Vorhergehender Prozess:</b> <a href="/wiki/de/index.php/SP6:_Managen_von_Projekten" title="SP6: Managen von Projekten">Managen von Projekten</a>
</p><p><b>Nächster Prozess:</b> <a href="/wiki/de/index.php/SP8:_Gewährleisten_von_Kontinuität" title="SP8: Gewährleisten von Kontinuität">Gewährleisten von Kontinuität</a></html>
<p>&nbsp;</p>
<p>&nbsp;</p>


==Prozess-Beschreibung==
==Prozess-Beschreibung==


<html><div itemscope itemtype="https://schema.org/ImageObject" style="width:677px;"><img itemprop="contentUrl" style="margin:20px 0px 10px 0px;" src="https://yasm.com/wiki/de/img/yasm-prozess/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" width="677" height="424" title="Abb. 1: Gewährleisten der Sicherheit. - YaSM-Prozess SP7." alt="Gewährleisten der Sicherheit. - YaSM Security-Prozess SP7." /><div class="thumbcaption"><span style="font-variant:small-caps;"><b>Abbildung 1:</b></span> <small><span itemprop="caption">"Gewährleisten der Sicherheit". - YaSM unterstützender Service-Management-Prozess SP7.</span></small></div></div><br style="clear:both;"/>
<html><p><span id="md-itempage-description" itemprop="description">Der <b><span style="color:#465674;">Security-Management-Prozess</span></b> in YaSM (<a href="https://yasm.com/wiki/de/img/yasm-prozess/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" title="YaSM Security Management (SP7)">Abb. 1</a>) garantiert die Sicherheit der vom Service-Provider gemanagten Service-Palette und gleicht die Sicherheitserfordernisse des Service-Providers mit denjenigen der Kunden an. Dies schließt mit ein, sicherzustellen, dass Systeme und Daten vor Einbrüchen geschützt werden und dass Zugriffe nur von autorisierten Parteien erfolgen.</span></p>
<p>&nbsp;</p>


<p><span itemprop="description">Der <span itemprop="alternativeHeadline">Security-Prozess in YaSM</span> ("<strong class="selflink"><span itemprop="name Headline">SP7: Gewährleisten der Sicherheit</span></strong>") garantiert die Sicherheit der vom Service-Provider gemanagten Service-Palette und gleicht die Sicherheitserfordernisse des Service-Providers mit denjenigen der Kunden an. Dies schließt mit ein, sicherzustellen, dass Systeme und Daten vor Einbrüchen geschützt werden und dass Zugriffe nur von autorisierten Parteien erfolgen.</span></p>
<div itemid="https://yasm.com/wiki/de/img/yasm-prozess/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" itemscope itemtype="https://schema.org/ImageObject">
<meta itemprop="width" content="1200" />
<meta itemprop="height" content="900" />
<meta itemprop="keywords" content="YaSM Security Management" />
<meta itemprop="keywords" content="Service Management Security Prozess" />
<meta itemprop="keywords" content="IT Security Management" />
<meta itemprop="keywords" content="ITIL 4 Information Security Management" />
<meta itemprop="keywords" content="ITIL 4 Risk Management" />
<meta itemprop="representativeOfPage" content="true"/>
<meta itemprop="dateCreated" content="2014-05-02" />
<meta itemprop="datePublished" content="2014-06-15" />
<meta itemprop="dateModified" content="2024-05-19" />
<span itemprop="thumbnail" itemscope itemtype="https://schema.org/ImageObject">
  <meta itemprop="url" content="https://yasm.com/wiki/de/img/yasm-prozess/16x9/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" />
  <meta itemprop="width" content="1200" />
  <meta itemprop="height" content="675" />
  <meta itemprop="dateCreated" content="2020-06-13" />
  <meta itemprop="datePublished" content="2020-06-15" />
  <meta itemprop="dateModified" content="2024-05-20" />
</span>
<span itemprop="thumbnail" itemscope itemtype="https://schema.org/ImageObject">
  <meta itemprop="url" content="https://yasm.com/wiki/de/img/yasm-prozess/800px/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" />
  <meta itemprop="width" content="800" />
  <meta itemprop="height" content="600" />
  <meta itemprop="dateCreated" content="2024-05-23" />
  <meta itemprop="datePublished" content="2024-05-30" />
</span>
<span itemprop="thumbnail" itemscope itemtype="https://schema.org/ImageObject">
  <meta itemprop="url" content="https://yasm.com/wiki/de/img/yasm-prozess/480px/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" />
  <meta itemprop="width" content="480" />
  <meta itemprop="height" content="360" />
  <meta itemprop="dateCreated" content="2024-05-23" />
  <meta itemprop="datePublished" content="2024-05-30" />
</span>
<figure class="mw-halign-left" typeof="mw:File/Thumb"><a itemprop="contentUrl" href="https://yasm.com/wiki/de/img/yasm-prozess/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" title="Gewährleisten der Sicherheit. - YaSM Security-Management-Prozess SP7."><img srcset="https://yasm.com/wiki/de/img/yasm-prozess/480px/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg 480w, https://yasm.com/wiki/de/img/yasm-prozess/800px/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg 800w, https://yasm.com/wiki/de/img/yasm-prozess/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg 1200w" sizes="100vw" src="https://yasm.com/wiki/de/img/yasm-prozess/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" fetchpriority="high" decoding="async" width="800" height="600" class="mw-file-element" alt="Abb. 1: Gewährleisten der Sicherheit. - YaSM Security-Management-Prozess SP7. - Kompatibel mit der Practice ITIL 4 Information Security Management und ITIL 4 Risk Management." /></a><figcaption><span style="font-variant:small-caps;"><b>Abb. 1: 'Gewährleisten der Sicherheit'</b><br /><a href="https://yasm.com/wiki/de/img/yasm-prozess/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" title="YaSM Security-Management SP7">Der YaSM Security-Management-Prozess SP7</a>.</span></figcaption></figure></div></html>
<br style="clear:both;"/>


<p>"Gewährleisten der Sicherheit" beginnt mit der Erstellung eines Registers der Sicherheitsrisiken, in dem die identifizierten Sicherheitsrisiken und ihre Charakteristika ebenso wie geeignete Risikobewältigungsmaßnahmen (Sicherheitsvorkehrungen oder andere Maßnahmen zur Risikoverringerung) aufgelistet sind.</p>
"Gewährleisten der Sicherheit" beginnt mit der Erstellung eines Registers der Sicherheitsrisiken, in dem die identifizierten Sicherheitsrisiken und ihre Charakteristika ebenso wie geeignete Risikobewältigungsmaßnahmen (Sicherheitsvorkehrungen oder andere Maßnahmen zur Risikoverringerung) aufgelistet sind.


<p>Die YaSM-Prozesse geben dem Sicherheitsmanager für seine Aufgabe eine Reihe von Einflussmöglichkeiten an die Hand. Hierzu gehört insbesondere, dass der Sicherheitsmanager in den Design- und Erstellungsprozess der Services einbezogen wird, um so die Sicherheit neuer oder aktualisierter Services sicherzustellen. Sobald im Verlauf der Design-Phase des Services feststeht, welche Sicherheitsvorkehrungen und -mechanismen für den neuen Service benötigt werden, können diese installiert werden, und zwar</p>
Die YaSM-Prozesse geben dem Sicherheitsmanager für seine Aufgabe eine Reihe von Einflussmöglichkeiten an die Hand. Hierzu gehört insbesondere, dass der Sicherheitsmanager in den Design- und Erstellungsprozess der Services einbezogen wird, um so die Sicherheit neuer oder aktualisierter Services sicherzustellen. Sobald im Verlauf der Design-Phase des Services feststeht, welche Sicherheitsvorkehrungen und -mechanismen für den neuen Service benötigt werden, können diese installiert werden, und zwar
<ul>
* über den Prozess "Erstellen von Services" durch Hinzufügen geeigneter Sicherheitsmerkmale zur Service-Infrastruktur, die erstellt oder aktualisiert werden soll,
<li>über den Prozess "Erstellen von Services" durch Hinzufügen geeigneter Sicherheitsmerkmale zur Service-Infrastruktur, die erstellt oder aktualisiert werden soll,</li>
* über den Prozess "Gewährleisten der Sicherheit" durch Aktualisierung der Sicherheitsrichtlinien sowie der Sicherheitsmechanismen und -vorkehrungen, die unter der Verantwortung des Sicherheitsmanagers betrieben werden.
<li>über den Prozess "Gewährleisten der Sicherheit" durch Aktualisierung der Sicherheitsrichtlinien sowie der Sicherheitsmechanismen und -vorkehrungen, die unter der Verantwortung des Sicherheitsmanagers betrieben werden.</li></ul>


<p>Der Sicherheitsmanager ist auch in Service- bzw. Prozessverbesserungs-Initiativen mit einbezogen, wenn Sicherheitsaspekte zu beachten sind.</p>
Der Sicherheitsmanager ist auch in Service- bzw. Prozessverbesserungs-Initiativen mit einbezogen, wenn Sicherheitsaspekte zu beachten sind.


<p>Falls neue Bedrohungen der Sicherheit bekannt werden oder wenn die Sicherheitsvorkehrungen aus anderen Gründen verbessert werden müssen, kann der Prozess "Gewährleisten der Sicherheit" selbständig Sicherheitsinitiativen starten. Solche Initiativen werden über den Sicherheitsverbesserungs-Plan verwaltet.</p>
Falls neue Bedrohungen der Sicherheit bekannt werden oder wenn die Sicherheitsvorkehrungen aus anderen Gründen verbessert werden müssen, kann der Prozess "Gewährleisten der Sicherheit" selbständig Sicherheitsinitiativen starten. Solche Initiativen werden über den Sicherheitsverbesserungs-Plan verwaltet.


<p>Schließlich gewährleistet der Sicherheitsmanager auch dadurch die Sicherheit, dass er Regeln definiert und relevante Informationen bereitstellt, z.B. in Form von unterstützenden Sicherheitsrichtlinien, Incident-und Service-Request-Modellen sowie Sicherheitswarnungen.</p>
Schließlich gewährleistet der Sicherheitsmanager auch dadurch die Sicherheit, dass er Regeln definiert und relevante Informationen bereitstellt, z.B. in Form von unterstützenden Sicherheitsrichtlinien, Incident-und Service-Request-Modellen sowie Sicherheitswarnungen.


<p><i>Anmerkung: YaSM liefert keine ausführliche Erklärung sämtlicher Aspekte des Sicherheitsmanagements, da es hierfür spezielle und detailliertere Quellen gibt (siehe beispielsweise ISO 27001). YaSM zeigt vielmehr die wichtigsten Aktivitäten des Sicherheitsmanagements auf und beschreibt die Schnittstellen zu den anderen YaSM-Prozessen.</i></html>
<i><u>Anmerkung</u>: YaSM liefert keine ausführliche Erklärung sämtlicher Aspekte des Sicherheitsmanagements, da es hierfür spezielle und detailliertere Quellen gibt (siehe beispielsweise ISO 27001). YaSM zeigt vielmehr die wichtigsten Aktivitäten des Sicherheitsmanagements auf und beschreibt die Schnittstellen zu den anderen YaSM-Prozessen.</i>
<p>&nbsp;</p>


<p>&nbsp;</p>
<html><i><u>Kompatibilität</u>: Der YaSM Security-Management-Prozess ist <a href="/wiki/de/index.php/YaSM_und_ISO_20000#ISO_20000-Anforderungen_und_relevante_Service-Management-Prozesse" title="YaSM und ISO 20000">kompatibel mit ISO 20000</a>, dem internationalen Service-Management-Standard (vgl. ISO/IEC 20000-1:2018, <a href="/wiki/de/index.php/YaSM_und_ISO_20000#Service-Assurance" title="ISO 20000 Abschnitt 7: Service Assurance">Abschnitt 7</a>) und eignet sich zur Umsetzung der Practices '<a href="/wiki/de/index.php/YaSM_und_ITIL#ITIL-4-Information-security-management" title="ITIL 4-Practices und YaSM-Prozesse: ITIL 4 Information Security Management">Information Security Management</a>' und '<a href="/wiki/de/index.php/YaSM_und_ITIL#ITIL-4-Risk-management" title="ITIL 4-Practices und YaSM-Prozesse: ITIL 4 Risk Management">ITIL 4 Risk Management</a>'.</i></html>


==Sub-Prozesse==
==Sub-Prozesse==


<html><div itemscope="itemscope" itemtype="https://schema.org/ItemList"><!-- define schema.org/ItemList -->
<html>YaSM's Security-Management-Prozess beinhaltet die folgenden Sub-Prozesse:</p>
<meta itemprop="itemListOrder" content="Ascending" />
<p><span itemprop="name" content="SP7: Gewährleisten der Sicherheit. - Sub-Prozesse:"><i>"Gewährleisten der Sicherheit"</i> beinhaltet die folgenden Sub-Prozesse:</span>
</p>
<p>&#160;</p>
<p><b><span id="SP7.1" itemprop="itemListElement">SP7.1: Bewerten von Sicherheits-Risiken</span></b></p>
<ul><li itemprop="description">Prozessziel: Bestimmen der Risiken, die der Service-Provider gemanagt werden müssen, und Definieren geeigneter Vorgehensweisen zur Behandlung der Risiken.</li></ul>
<p><br /></p>
<p><b><span id="SP7.2" itemprop="itemListElement">SP7.2: Definieren von Sicherheits-Verbesserungen</span></b></p>
<ul><li itemprop="description">Prozessziel: Definieren der Ziele von Sicherheits-Verbesserungs-Initiativen und des Ansatzes zu deren Implementierung. Dies beinhaltet auch die Erstellung von Kosten-/Nutzen-Analysen für die Initiativen.</li></ul>
<p><br /></p>
<p><b><span id="SP7.3" itemprop="itemListElement">SP7.3: Starten von Sicherheits-Verbesserungs-Initiativen</span></b></p>
<ul><li itemprop="description">Prozessziel: Starten von Sicherheits-Verbesserungs-Initiativen. Dies beinhaltet auch das Einholen der Genehmigung durch Beantragung eines Budgets und Einreichen eines Requests for Change.</li></ul>
<p><br /></p>
<p><b><span id="SP7.4" itemprop="itemListElement">SP7.4: Implementieren von Sicherheits-Vorkehrungen</span></b></p>
<ul><li itemprop="description">Prozessziel: Implementieren, Testen und Ausrollen von neuen oder verbesserten Sicherheits-Vorkehrungen und -Mechanismen.</li></ul>
<p><br /></p>
<p><b><span id="SP7.5" itemprop="itemListElement">SP7.5: Betreiben der Sicherheits-Vorkehrungen</span></b></p>
<ul><li itemprop="description">Prozessziel: Durchführen geeigneter Sicherheits-Schulungen für die Mitarbeiter und Kunden des Service-Providers. Sicherstellen, dass die Kontinuitäts-Vorkehrungen und -Mechanismen regelmäßig gewartet und getestet werden.</li></ul>
<p><br /></p>
<p><b><span id="SP7.6" itemprop="itemListElement">SP7.6: Überprüfen der Sicherheits-Vorkehrungen</span></b></p>
<ul><li itemprop="description">Prozessziel: Die Sicherheits-Vorkehrungen und -Mechanismen regelmäßigen Reviews zu unterwerfen, um Potentiale für Verbesserungen zu identifizieren, die mit Sicherheits-Verbesserungs-Initiativen adressiert werden sollen.</li></ul>
</div><!-- end of schema.org/ItemList --><p></html>


<p>&nbsp;</p>
<!-- define schema.org/CreativeWork -->
<link id="md-type-subProcess" itemprop="additionalType" href="http://www.productontology.org/id/Procedure_(business)" />
<div itemid="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.1" itemscope itemtype="https://schema.org/CreativeWork" itemref="md-type-subProcess">
<meta itemprop="alternateName" content="YaSM Security-Management-Prozess SP7.1" />
<dl id="SP7.1"><dt itemprop="name">SP7.1: Bewerten von Sicherheits-Risiken</dt>
<dd itemprop="description">Prozessziel: Bestimmen der Risiken, die der Service-Provider gemanagt werden müssen, und Definieren geeigneter Vorgehensweisen zur Behandlung der Risiken.</dd></dl>
</div>
<div itemid="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.2" itemscope itemtype="https://schema.org/CreativeWork" itemref="md-type-subProcess">
<meta itemprop="alternateName" content="YaSM Security-Management-Prozess SP7.2" />
<dl id="SP7.2"><dt itemprop="name">SP7.2: Definieren von Sicherheits-Verbesserungen</dt>
<dd itemprop="description">Prozessziel: Definieren der Ziele von Sicherheits-Verbesserungs-Initiativen und des Ansatzes zu deren Implementierung. Dies beinhaltet auch die Erstellung von Kosten-/Nutzen-Analysen für die Initiativen.</dd></dl>
</div>
<div itemid="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.3" itemscope itemtype="https://schema.org/CreativeWork" itemref="md-type-subProcess">
<meta itemprop="alternateName" content="YaSM Security-Management-Prozess SP7.3" />
<dl id="SP7.3"><dt itemprop="name">SP7.3: Starten von Sicherheits-Verbesserungs-Initiativen</dt>
<dd itemprop="description">Prozessziel: Starten von Sicherheits-Verbesserungs-Initiativen. Dies beinhaltet auch das Einholen der Genehmigung durch Beantragung eines Budgets und Einreichen eines Requests for Change.</dd></dl>
</div>
<div itemid="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.4" itemscope itemtype="https://schema.org/CreativeWork" itemref="md-type-subProcess">
<meta itemprop="alternateName" content="YaSM Security-Management-Prozess SP7.4" />
<dl id="SP7.4"><dt itemprop="name">SP7.4: Implementieren von Sicherheits-Vorkehrungen</dt>
<dd itemprop="description">Prozessziel: Implementieren, Testen und Ausrollen von neuen oder verbesserten Sicherheits-Vorkehrungen und -Mechanismen.</dd></dl>
</div>
<div itemid="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.5" itemscope itemtype="https://schema.org/CreativeWork" itemref="md-type-subProcess">
<meta itemprop="alternateName" content="YaSM Security-Management-Prozess SP7.5" />
<dl id="SP7.5"><dt itemprop="name">SP7.5: Betreiben der Sicherheits-Vorkehrungen</dt>
<dd itemprop="description">Prozessziel: Durchführen geeigneter Sicherheits-Schulungen für die Mitarbeiter und Kunden des Service-Providers. Sicherstellen, dass die Kontinuitäts-Vorkehrungen und -Mechanismen regelmäßig gewartet und getestet werden.</dd></dl>
</div>
<div itemid="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.6" itemscope itemtype="https://schema.org/CreativeWork" itemref="md-type-subProcess">
<meta itemprop="alternateName" content="YaSM Security-Management-Prozess SP7.6" />
<dl id="SP7.6"><dt itemprop="name">SP7.6: Überprüfen der Sicherheits-Vorkehrungen</dt>
<dd itemprop="description">Prozessziel: Die Sicherheits-Vorkehrungen und -Mechanismen regelmäßigen Reviews zu unterwerfen, um Potentiale für Verbesserungen zu identifizieren, die mit Sicherheits-Verbesserungs-Initiativen adressiert werden sollen.</dd></dl>
</div><!-- end of schema.org/CreativeWork --><p></html>


==Prozess-Outputs==
==Prozess-Outputs==


<html><div itemscope="itemscope" itemtype="https://schema.org/ItemList"><!-- define schema.org/ItemList -->
<html><!-- define schema.org/DefinedTermSet -->
<meta itemprop="itemListOrder" content="Ascending" />
<div itemid="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#prozess-inputs-outputs" itemscope="itemscope" itemtype="https://schema.org/DefinedTermSet">
<p><span itemprop="name">Die folgenden Dokumente und Records werden von <i>"Gewährleisten der Sicherheit"</i> erzeugt</span>; YaSM-Datenobjekte <a href="#ydo" title="YaSM-Datenobjekt">[*]</a> sind mit einem Sternsymbol markiert, und andere Objekte werden in grau dargestellt.</p>
<link itemprop="additionalType" href="http://www.productontology.org/id/Input/output" />
<p>&#160;</p>
<meta itemprop="name" content="YaSM-Prozess SP7: Dokumente und Records" />
<p><b><span itemprop="itemListElement" style="color:#636363">Aktualisierungs-Daten für den Projektplan</span></b></p>
<meta itemprop="alternateName" content="Security-Management Prozess-Outputs" />
<ul><li itemprop="description" style="color:#636363">Ist-Daten zu Projekt-Fortschritt und Ressourcen-Verbrauch, die von unterschiedlichen Service-Management-Prozessen an den Projektmanager übermittelt werden. Diese Daten sind ein Input für das Projekt-Controlling.</li></ul>
<meta itemprop="alternateName" content="Security-Management Datenobjekte" />
<p><br /></p>
<p><span itemprop="description">Die folgenden Dokumente und Records werden von 'Security-Management' erzeugt.</span> YaSM-Datenobjekte <a href="#ydo" title="YaSM-Datenobjekt">[*]</a> sind mit einem Sternsymbol markiert, und andere Objekte werden in grau dargestellt.</p>
<p><b><span itemprop="itemListElement" style="color:#636363">Anforderung zur Bewertung der Compliance-Auswirkungen</span></b></p>
 
<ul><li itemprop="description" style="color:#636363">Eine Anforderung zur Bewertung, welche Compliance-Anforderungen für einen neuen oder geänderten Service relevant sind, typischerweise erteilt während des Service-Designs.</li></ul>
<dl>
<p><br /></p>
<div style="color:#636363" itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement" style="color:#636363">Anforderung zur Bewertung von Kontinuitäts-Risiken</span></b></p>
<dt itemprop="name">Aktualisierungs-Daten für den Projektplan</dt>
<ul><li itemprop="description" style="color:#636363">Eine Anforderung zur Bewertung von Risiken im Zusammenhang mit Katastrophenfällen; diese wird typischerweise während des Service-Designs erteilt, falls evtl. neue oder geänderte Kontinuitäts-Vorkehrungen für einen neuen oder verbesserten Service benötigt werden.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Ist-Daten zu Projekt-Fortschritt und Ressourcen-Verbrauch, die von unterschiedlichen Service-Management-Prozessen an den Projektmanager übermittelt werden. Diese Daten sind ein Input für das Projekt-Controlling.</dd></div>
<p><br /></p>
<div style="color:#636363" itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span id="Anforderung-zur-Bewertung-von-Sicherheits-Risiken" itemprop="itemListElement" style="color:#636363">Anforderung zur Bewertung von Sicherheits-Risiken</span></b></p>
<dt itemprop="name">Anforderung zur Bewertung der Compliance-Auswirkungen</dt>
<ul><li itemprop="description" style="color:#636363">Eine Anforderung zur Bewertung von Risiken im Zusammenhang mit Katastrophenfällen; diese wird typischerweise während des Service-Designs erteilt, falls evtl. neue oder geänderte Kontinuitäts-Vorkehrungen für einen neuen oder verbesserten Service benötigt werden.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Eine Anforderung zur Bewertung, welche Compliance-Anforderungen für einen neuen oder geänderten Service relevant sind, typischerweise erteilt während des Service-Designs.</dd></div>
<p><br /></p>
<div style="color:#636363" itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span id="Bericht-zum-Sicherheits-Review" itemprop="itemListElement">Bericht zum Sicherheits-Review</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name">Anforderung zur Bewertung von Kontinuitäts-Risiken</dt>
<ul><li itemprop="description">Ein Bericht zum Sicherheits-Review zeichnet die Details und Ergebnisse eines Sicherheits-Reviews auf. Dieser Bericht ist eine wichtige Grundlage für die Definition von Initiativen zur Verbesserung der Sicherheit.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Eine Anforderung zur Bewertung von Risiken im Zusammenhang mit kritischen Ereignissen; diese wird typischerweise während des Service-Designs erteilt, falls evtl. neue oder geänderte Kontinuitäts-Vorkehrungen für einen neuen oder verbesserten Service benötigt werden.</dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement" style="color:#636363">Beschaffungs-Anforderung</span></b></p>
<dt itemprop="name" id="Bericht-zum-Sicherheits-Review">Bericht zum Sicherheits-Review</dt>
<ul><li itemprop="description" style="color:#636363">Eine Anforderung zur Beschaffung von Gütern von einem externen Lieferanten. Beschaffungs-Anforderungen werden typischerweise an den Supplier-Manager gerichtet, wenn z.B. Anwendungen, Systeme oder andere Infrastruktur-Komponenten für die Erstellung eines neuen Service notwendig sind, oder wenn Standard-Infrastruktur-Komponenten oder Verbrauchsgüter für den Service-Betrieb benötigt werden.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Ein Bericht zum Sicherheits-Review zeichnet die Details und Ergebnisse eines Sicherheits-Reviews auf. Dieser Bericht ist eine wichtige Grundlage für die Definition von Initiativen zur Verbesserung der Sicherheit. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div style="color:#636363" itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement">Budget-Anforderung</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name">Beschaffungs-Anforderung</dt>
<ul><li itemprop="description">Eine Budget-Anforderung wird typischerweise erstellt, um finanzielle Mittel für das Erstellen, Verbessern oder Betreiben eines Service oder Prozesses zu erhalten. Eine genehmigte Budget-Anforderung bedeutet, dass die finanziellen Ressourcen vom Finanz-Manager zugeteilt wurden.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Eine Anforderung zur Beschaffung von Gütern von einem externen Lieferanten. Beschaffungs-Anforderungen werden typischerweise an den Supplier-Manager gerichtet, wenn z.B. Anwendungen, Systeme oder andere Infrastruktur-Komponenten für die Erstellung eines neuen Service notwendig sind, oder wenn Standard-Infrastruktur-Komponenten oder Verbrauchsgüter für den Service-Betrieb benötigt werden.</dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement">Change Record</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name">Budget-Anforderung</dt>
<ul><li itemprop="description">In einem Change Record sind alle Einzelheiten eines Changes enthalten; er dokumentiert somit den Lebenszyklus eines einzelnen Changes. Zu Beginn beschreibt ein Change Record einen Change-Antrag (Request for Change, RFC), der vor der Implementierung des Changes zu bewerten und freizugeben ist. Weitere Informationen werden im Verlauf des Changes hinzugefügt.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Eine Budget-Anforderung wird typischerweise erstellt, um finanzielle Mittel für das Erstellen, Verbessern oder Betreiben eines Service oder Prozesses zu erhalten. Eine genehmigte Budget-Anforderung bedeutet, dass die finanziellen Ressourcen vom Finanz-Manager zugeteilt wurden. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement">CI Record</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name">Change Record</dt>
<ul><li itemprop="description">Konfigurations-Information wird für alle Konfigurations-Elemente (Configuration Items, CIs) in CI Records gepflegt, die unter der Kontrolle des Konfigurations-Managers stehen. In diesem Zusammenhang gibt es unterschiedliche Typen von CIs: Anwendungen, Systeme und andere Infrastruktur-Komponenten werden als CIs behandelt, aber oft auch Services, Richtlinien, Projektdokumente, Mitarbeiter, Lieferanten usw. Konfigurations-Informationen sind im Konfigurations-Management-System (Configuration Management System, CMS) verzeichnet.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">In einem Change Record sind alle Einzelheiten eines Changes enthalten; er dokumentiert somit den Lebenszyklus eines einzelnen Changes. Zu Beginn beschreibt ein Change Record einen Change-Antrag (Request for Change, RFC), der vor der Implementierung des Changes zu bewerten und freizugeben ist. Weitere Informationen werden im Verlauf des Changes hinzugefügt. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement">Incident-Modell</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name">CI Record</dt>
<ul><li itemprop="description">Incident-Modelle enthalten die vordefinierten Schritte zum Umgang mit einem bestimmten Incident-Typ. Incident-Modelle dienen dem Zweck, wiederkehrende Incidents effektiv und effizient zu bearbeiten.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Konfigurations-Information wird für alle Konfigurations-Elemente (Configuration Items, CIs) in CI Records gepflegt, die unter der Kontrolle des Konfigurations-Managers stehen. In diesem Zusammenhang gibt es unterschiedliche Typen von CIs: Anwendungen, Systeme und andere Infrastruktur-Komponenten werden als CIs behandelt, aber oft auch Services, Richtlinien, Projektdokumente, Mitarbeiter, Lieferanten usw. Konfigurations-Informationen sind im Konfigurations-Management-System (Configuration Management System, CMS) verzeichnet. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement" style="color:#636363">Informationen zum Change-Status</span></b></p>
<dt itemprop="name">Incident-Modell</dt>
<ul><li itemprop="description" style="color:#636363">Aktuelle Status-Informationen zur Implementierung eines Changes. Diese Informationen werden dem Change-Manager von den verschiedenen Prozessen zur Verfügung gestellt, die freigegebene Changes implementieren. Der Change-Manager wird so in die Lage versetzt, die Change Records und die Change-Planung aktuell zu halten.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Incident-Modelle enthalten die vordefinierten Schritte zum Umgang mit einem bestimmten Incident-Typ. Incident-Modelle dienen dem Zweck, wiederkehrende Incidents effektiv und effizient zu bearbeiten. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div style="color:#636363" itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span id="Register-der-Sicherheits-Risiken" itemprop="itemListElement">Register der Sicherheits-Risiken</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name">Informationen zum Change-Status</dt>
<ul><li itemprop="description">Das Register der Sicherheits-Risiken ist ein vom Sicherheits-Manager genutztes Tool, das eine Übersicht über sämtliche Sicherheits-Risiken bietet, die zu managen sind. Das Register der Sicherheits-Risiken spezifiziert auch, wie die identifizierten Risiken behandelt werden; insbesondere nennt es die Sicherheits-Vorkehrungen und -Mechanismen zur Risikominderung.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Aktuelle Status-Informationen zur Implementierung eines Changes. Diese Informationen werden dem Change-Manager von den verschiedenen Prozessen zur Verfügung gestellt, die freigegebene Changes implementieren. Der Change-Manager wird so in die Lage versetzt, die Change Records und die Change-Planung aktuell zu halten.</dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span id="Security-Alert" itemprop="itemListElement" style="color:#636363">Security Alert</span></b></p>
<dt itemprop="name" id="Register-der-Sicherheits-Risiken">Register der Sicherheits-Risiken</dt>
<ul><li itemprop="description" style="color:#636363">Ein Security Alert (Sicherheits-Alarm) wird typischerweise vom Sicherheits-Manager herausgegeben, wenn Bedrohungen der Sicherheit absehbar oder bereits eingetreten sind. Sicherheits-Warnungen werden mit dem Ziel veröffentlicht, Anwender und Mitarbeiter in die Lage zu versetzen, Angriffe auf die Sicherheit zu erkennen und sich mit geeigneten Maßnahmen zu schützen.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Das Register der Sicherheits-Risiken ist ein vom Sicherheits-Manager genutztes Tool, das eine Übersicht über sämtliche Sicherheits-Risiken bietet, die zu managen sind. Das Register der Sicherheits-Risiken spezifiziert auch, wie die identifizierten Risiken behandelt werden; insbesondere nennt es die Sicherheits-Vorkehrungen und -Mechanismen zur Risikominderung. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div style="color:#636363" itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement">Service-Request-Modell</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name" id="Security-Alert">Security Alert</dt>
<ul><li itemprop="description">Service-Request-Modelle enthalten die vordefinierten Schritte zum Umgang mit einem bestimmten Typ von Serviceauftrag. Request-Modelle dienen dem Zweck, häufig wiederkehrende Serviceaufträge effektiv und effizient zu bearbeiten.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Ein Security Alert (Sicherheits-Alarm) wird typischerweise vom Sicherheits-Manager herausgegeben, wenn Bedrohungen der Sicherheit absehbar oder bereits eingetreten sind. Sicherheits-Warnungen werden mit dem Ziel veröffentlicht, Anwender und Mitarbeiter in die Lage zu versetzen, Angriffe auf die Sicherheit zu erkennen und sich mit geeigneten Maßnahmen zu schützen.</dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span id="Sicherheits-Betriebshandbuch" itemprop="itemListElement">Sicherheits-Betriebshandbuch</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name">Service-Request-Modell</dt>
<ul><li itemprop="description">Das Sicherheits-Betriebshandbuch spezifiziert die in der Verantwortung des Sicherheits-Managers liegenden Aktivitäten, die für den Betrieb der Sicherheits-Vorkehrungen und -Mechanismen erforderlich sind. Einige Anweisungen für den Betrieb bestimmter Sicherheits-Systeme können in separaten technischen Handbüchern oder 'Standardarbeitsanweisungen (Standard Operating Procedures, SOP)' dokumentiert werden.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Service-Request-Modelle enthalten die vordefinierten Schritte zum Umgang mit einem bestimmten Typ von Serviceauftrag. Request-Modelle dienen dem Zweck, häufig wiederkehrende Serviceaufträge effektiv und effizient zu bearbeiten. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span id="Sicherheits-Richtlinie" itemprop="itemListElement">Sicherheits-Richtlinie</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name" id="Sicherheits-Betriebshandbuch">Sicherheits-Betriebshandbuch</dt>
<ul><li itemprop="description">Die Sicherheits-Richtlinie beschreibt und kommuniziert das in der Organisation angewandte Verfahren zur Gewährleistung der Sicherheit. Um effektiv zu sein, muss die Richtlinie vom oberen Management unterstützt und allen Betroffenen bekannt gemacht werden.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Das Sicherheits-Betriebshandbuch spezifiziert die in der Verantwortung des Sicherheits-Managers liegenden Aktivitäten, die für den Betrieb der Sicherheits-Vorkehrungen und -Mechanismen erforderlich sind. Einige Anweisungen für den Betrieb bestimmter Sicherheits-Systeme können in separaten technischen Handbüchern oder 'Standardarbeitsanweisungen (Standard Operating Procedures, SOP)' dokumentiert werden. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span id="Sicherheits-Verbesserungs-Plan" itemprop="itemListElement">Sicherheits-Verbesserungs-Plan</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name" id="Sicherheits-Verbesserungs-Plan">Sicherheits-Verbesserungs-Plan</dt>
<ul><li itemprop="description">Einträge im Sicherheits-Verbesserungs-Plan (Security Improvement Plan) dienen dem Sicherheits-Manager zur Erfassung und dem Management von Sicherheits-Verbesserungs-Initiativen über ihren gesamten Lebenszyklus. Initiativen im Sicherheits-Verbesserungs-Plan können vorbeugende Maßnahmen zur Erhöhung der Sicherheit implementieren, oder Mechanismen einrichten, mit denen effektiv auf Sicherheitsverletzungen reagiert werden kann.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Einträge im Sicherheits-Verbesserungs-Plan (Security Improvement Plan) dienen dem Sicherheits-Manager zur Erfassung und dem Management von Sicherheits-Verbesserungs-Initiativen über ihren gesamten Lebenszyklus. Initiativen im Sicherheits-Verbesserungs-Plan können vorbeugende Maßnahmen zur Erhöhung der Sicherheit implementieren, oder Mechanismen einrichten, mit denen effektiv auf Sicherheitsverletzungen reagiert werden kann. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement">Testprotokoll</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name">Testprotokoll</dt>
<ul><li itemprop="description">Ein Testprotokoll stellt einen detaillierten Bericht zu Testaktivitäten bereit. Ein solches Protokoll wird z.B. während der Tests neuer oder geänderter Service-Komponenten erstellt, oder während der Tests von Sicherheits- oder Service-Kontinuitäts-Mechanismen.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Ein Testprotokoll stellt einen detaillierten Bericht zu Testaktivitäten bereit. Ein solches Protokoll wird z.B. während der Tests neuer oder geänderter Service-Komponenten erstellt, oder während der Tests von Sicherheits- oder Service-Kontinuitäts-Mechanismen. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement">Testskript</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name">Testskript</dt>
<ul><li itemprop="description">Ein Testskript bzw. Testdrehbuch spezifiziert einen Satz von Testfällen einschließlich der erwarteten Ergebnisse. Die Art der Testfälle hängt davon ab, was zu testen ist.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Ein Testskript bzw. Testdrehbuch spezifiziert einen Satz von Testfällen einschließlich der erwarteten Ergebnisse. Die Art der Testfälle hängt davon ab, was zu testen ist. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span id="Unterstuetzende-Sicherheits-Richtlinie" itemprop="itemListElement">Unterstützende Sicherheits-Richtlinie</span></b> <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></p>
<dt itemprop="name" id="Unterstuetzende-Sicherheits-Richtlinie">Unterstützende Sicherheits-Richtlinie</dt>
<ul><li itemprop="description">Unterstützende Sicherheits-Richtlinien sind spezielle Richtlinien, die die übergeordnete Sicherheits-Richtlinie ergänzen. Sie stellen bindende Regeln auf, z.B. für die Nutzung von Systemen und Daten oder die Nutzung und Erbringung von Services.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Unterstützende Sicherheits-Richtlinien sind spezielle Richtlinien, die die übergeordnete Sicherheits-Richtlinie ergänzen. Sie stellen bindende Regeln auf, z.B. für die Nutzung von Systemen und Daten oder die Nutzung und Erbringung von Services. <a href="#ydo" title="YaSM-Datenobjekt">[*]</a></dd></div>
<p><br /></p>
<div style="color:#636363" itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement" style="color:#636363">Vorschlag zur Prozess-Änderung</span></b></p>
<dt itemprop="name">Vorschlag zur Prozess-Änderung</dt>
<ul><li itemprop="description" style="color:#636363">Ein Vorschlag zur Änderung eines oder mehrerer Service-Management-Prozesse. Vorschläge für Prozess-Änderungen oder -Verbesserungen können an jeder Stelle innerhalb der Organisation entstehen.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Ein Vorschlag zur Änderung eines oder mehrerer Service-Management-Prozesse. Vorschläge für Prozess-Änderungen oder -Verbesserungen können an jeder Stelle innerhalb der Organisation entstehen.</dd></div>
<p><br /></p>
<div style="color:#636363" itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span itemprop="itemListElement" style="color:#636363">Vorschlag zur Service-Änderung</span></b></p>
<dt itemprop="name">Vorschlag zur Service-Änderung</dt>
<ul><li itemprop="description" style="color:#636363">Ein Vorschlag zur Änderung eines Service, z.B. zur Verbesserung der Qualität oder Wirtschaftlichkeit des Services. Solche Vorschläge können an jeder Stelle innerhalb oder außerhalb der Service-Provider-Organisation entstehen.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Ein Vorschlag zur Änderung eines Service, z.B. zur Verbesserung der Qualität oder Wirtschaftlichkeit des Services. Solche Vorschläge können an jeder Stelle innerhalb oder außerhalb der Service-Provider-Organisation entstehen.</dd></div>
<p><br /></p>
<div style="color:#636363" itemprop="hasDefinedTerm" itemscope itemtype="https://schema.org/DefinedTerm">
<p><b><span id="Vorschlag-zur-Sicherheits-Optimierung" itemprop="itemListElement" style="color:#636363">Vorschlag zur Sicherheits-Optimierung</span></b></p>
<dt itemprop="name" id="Vorschlag-zur-Sicherheits-Optimierung">Vorschlag zur Sicherheits-Optimierung</dt>
<ul><li itemprop="description" style="color:#636363">Ein Vorschlag zur Verbesserung der Service-Sicherheit. Solche Vorschläge können an jeder Stelle innerhalb der Organisation entstehen.</li></ul>
<dd itemprop="description" style="margin-bottom: 1em;">Ein Vorschlag zur Verbesserung der Service-Sicherheit. Solche Vorschläge können an jeder Stelle innerhalb der Organisation entstehen.</dd></div>
</div><!-- end of schema.org/ItemList --><p>
</dl>
</div><!-- end of schema.org/DefinedTermSet --><p>


<p>&nbsp;</p>
<p>&nbsp;</p>
<hr />
<hr />
<p><i><b>Anmerkungen:</b></i>
<p><i><u>Anmerkungen:</u></i>
</p><p><span id="ydo"><strong>[*]</strong> <i>"YaSM-Datenobjekte"</i> sind Dokumente und Records, für die YaSM
</p><p><span id="ydo"><strong>[*]</strong> <i>"YaSM-Datenobjekte"</i> sind Dokumente und Records, für die YaSM detaillierte Empfehlungen bereithält: Für jedes YaSM-Objekt gibt es eine Checkliste (siehe <a href="https://yasm.com/wiki/de/index.php/Service-Management-Checklisten" title="Beispiel: YaSM Service-Management-Checkliste">Beispiel</a>), die die typischen Inhalte beschreibt, und ein Lifecycle-Diagramm, das darstellt, wie sich der Zustand des Objekts ändert, während es von verschiedenen YaSM-Prozessen erstellt, geändert, gelesen und archiviert wird (siehe <a href="https://yasm.com/wiki/de/img/yasm-projekt/Yasm-objekt-lifecycle-diagramm.jpg" title="Beispiel: YaSM Objekt-Lifecycle-Diagramm (.JPG)">Beispiel</a>).</span>
detaillierte Empfehlungen bereithält: Für jedes YaSM-Objekt gibt es eine Checkliste (siehe <a href="https://yasm.com/wiki/de/index.php/Service-Management-Checklisten" title="Beispiel: YaSM-Checkliste">Beispiel</a>), die die typischen Inhalte beschreibt, und ein Lifecycle-Diagramm, das darstellt, wie sich der Zustand des Objekts ändert, während es von verschiedenen YaSM-Prozessen erstellt, geändert, gelesen und archiviert wird (siehe <a href="https://yasm.com/wiki/de/img/yasm-projekt/Yasm-objekt-lifecycle-diagramm.jpg" title="Beispiel: YaSM Objekt-Lifecycle-Diagramm (.JPG)">Beispiel</a>).</span>
</p><p><i>"Andere Objekte"</i> sind eher informelle Daten oder Informationen. Es gibt aus diesem Grund keine zugehörigen Lifecycle-Diagramme oder Checklisten.</html>
</p><p><i>"Andere Objekte"</i> sind eher informelle Daten oder Informationen. Es gibt aus diesem Grund keine zugehörigen Lifecycle-Diagramme oder Checklisten.</html>
<p>&nbsp;</p>


==Prozess-Kennzahlen==
==Prozess-Kennzahlen==


<html><p>Prozesskennzahlen werden benötigt, wenn gemessen werden soll, ob die Service-Management-Prozesse "zufriedenstellend" laufen.</p>
Prozesskennzahlen werden benötigt, wenn gemessen werden soll, ob die Service-Management-Prozesse "zufriedenstellend" laufen.


<p>Vorschläge zu geeigneten <a itemprop="significantLinks" href="https://yasm.com/wiki/de/index.php/YaSM-Kennzahlen" title="Wie ermittelt man die Performance der YaSM-Prozesse - Prozesskennzahlen">Prozess-Kennzahlen</a> entnehmen Sie der <a itemprop="significantLinks" href="https://yasm.com/wiki/de/index.php/YaSM-Kennzahlen/%20Unterst%C3%BCtzende%20Service-Management-Prozesse#metriken-sp7" title="Kennzahlen für den YaSM-Prozess SP7: Gewährleisten der Sicherheit.">Liste von Kennzahlen zum Security-Prozess</a>.</html>
Vorschläge zu geeigneten [[Service-Management-Kennzahlen|Prozess-Kennzahlen]] entnehmen Sie der [[Service-Management-Kennzahlen#Kennzahlen_zum_Security-Management-Prozess|Liste von Kennzahlen zum Security-Prozess]].
 
<p>&nbsp;</p>


==Rollen und Verantwortlichkeiten==
==Rollen und Verantwortlichkeiten==


'''<span id="verantwortlich">Prozess-Owner: Sicherheits-Manager</span>'''
<span id="verantwortlich">Prozess-Owner: Der ''Sicherheits-Manager'' ist verantwortlich für die Sicherheit des Service-Providers und dessen Kunden. Dies schließt unter anderem die Verantwortung für die Sicherheit der vom Service-Provider verarbeiteten Informationen und Daten mit ein.</span>
*Der Sicherheits-Manager ist verantwortlich für die Sicherheit des Service-Providers und dessen Kunden. Dies schließt unter anderem die Verantwortung für die Sicherheit der vom Service-Provider verarbeiteten Informationen und Daten mit ein.


<p>&nbsp;</p>
<p>&nbsp;</p>


{| class="wikitable sortable" style="background: white; text-align:center; vertical-align:top; font-size: 90%; line-height: 1.3em;"
{| class="wikitable" style="background: white; font-size: 95%"
|+<span style="font-size: 120%; line-height: 2.3em;">Verantwortlichkeits-Matrix: "SP7: Gewährleisten der Sicherheit"</span>
|+style="background:#465674; color:#ffffff; font-size: 110%"|Verantwortlichkeits-Matrix 'SP7: Gewährleisten der Sicherheit'
|- style="vertical-align:top"
|- style="vertical-align:top"
! colspan="2"| YaSM-Rolle / Sub-Prozess
! colspan="2"| YaSM-Rolle / Sub-Prozess
Zeile 173: Zeile 221:
! [[YaSM-Rollen#Service-Kontinuitäts-Manager|Serv.-Kontin.-Mgr.]]
! [[YaSM-Rollen#Service-Kontinuitäts-Manager|Serv.-Kontin.-Mgr.]]
! [[YaSM-Rollen#Service-Owner|Serv.-Owner]]
! [[YaSM-Rollen#Service-Owner|Serv.-Owner]]
! [[YaSM-Rollen#Technischer-Fachexperte|Techn.- Fachexp.]]
! [[YaSM-Rollen#Technischer-Fachexperte|Techn.- Fach&shy;exp.]]
|- style="text-align:center"
|- style="text-align:center"
| SP7.1
| SP7.1
Zeile 206: Zeile 254:
|- style="text-align:center"
|- style="text-align:center"
| SP7.4
| SP7.4
| style="text-align:left"|[[#SP7.4|Implementieren von Sicherheits-Vorkehrungen]]
| style="text-align:left"|[[#SP7.4|Implementieren v. Sicherheits-Vorkehrungen]]
| -
| -
|R
|R
Zeile 238: Zeile 286:
<p>&nbsp;</p>
<p>&nbsp;</p>


==[ Infobox ]==
== Anmerkungen ==


<html><table class="wikitable">
<html><div itemid="https://yasm.com/wiki/de/img/yasm-prozess/ziel-definition/yasm-security-management-prozess.jpg" itemscope itemtype="https://schema.org/ImageObject">
<tr>
<meta itemprop="caption" content="Prozess-Ziel: YaSM Security Management - Gewährleisten der Sicherheit (SP7)" />
<td>Link zu dieser Seite:</td>
<meta itemprop="width" content="1200" />
<td><a itemprop="url" href="https://yasm.com/wiki/de/index.php/SP7%3A%20Gew%C3%A4hrleisten%20der%20Sicherheit">https://yasm.com/wiki/de/index.php/SP7:_Gewährleisten_der_Sicherheit</a></td>
<meta itemprop="height" content="627" />
</tr>
<meta itemprop="dateCreated" content="2021-09-21" />
<tr>
<meta itemprop="datePublished" content="2021-09-22" />
<td>Sprachversionen:</td>
<span itemprop="thumbnail" itemscope itemtype="https://schema.org/ImageObject">
<td><span itemprop="inLanguage" content="de">Deutsch</span> | <span><a itemprop="citation" class="external TEXT" href="https://yasm.com/wiki/en/index.php/SP7%3A%20Ensure%20security" title="SP7: Ensure security">English</a></span></td>
  <meta itemprop="url" content="https://yasm.com/wiki/de/img/yasm-prozess/ziel-definition/400px/yasm-security-management-prozess.jpg" />
</tr>
  <meta itemprop="width" content="400" />
<tr>
  <meta itemprop="height" content="209" />
<td>Image:</td>
  <meta itemprop="dateCreated" content="2023-12-12" />
<td style="vertical-align:top"><a itemprop="primaryImageOfPage" href="https://yasm.com/wiki/de/img/yasm-prozess/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" title="Gewährleisten der Sicherheit. - YaSM-Prozess SP7.">YaSM SP7: Gewährleisten der Sicherheit (.JPG)</a></td>
  <meta itemprop="datePublished" content="2023-12-29" />
</tr>
</span>
<tr>
<meta itemprop="keywords" content="Ziel Security Management Prozess" />
<td>Autoren:</td>
<figure class="mw-halign-left" typeof="mw:File/Thumb"><a itemprop="contentUrl" href="https://yasm.com/wiki/de/img/yasm-prozess/ziel-definition/yasm-security-management-prozess.jpg" title="Security-Management: Prozess-Ziel"><img srcset="https://yasm.com/wiki/de/img/yasm-prozess/ziel-definition/400px/yasm-security-management-prozess.jpg 400w, https://yasm.com/wiki/de/img/yasm-prozess/ziel-definition/yasm-security-management-prozess.jpg 1200w" sizes="100vw" src="https://yasm.com/wiki/de/img/yasm-prozess/ziel-definition/yasm-security-management-prozess.jpg" decoding="async" width="400" height="209" class="mw-file-element" alt="Der Security-Management-Prozess in YaSM dient dem Gewährleisten der Sicherheit der vom Service-Provider gemanagten Service-Palette, sowie dem Angleichen der Sicherheitserfordernisse des Service-Providers mit denjenigen der Kunden." /></a><figcaption><span style="font-variant:small-caps;">Security Management: Prozess-Ziele</span></figcaption></figure></div>
<td><span itemprop="author">Stefan Kempter</span> &nbsp; <a rel="author" href="https://plus.google.com/111925560448291102517"><img style="margin:0px 0px 0px 0px;" src="/wiki/de/img/yasm-wiki/bookmarking/google.jpg" width="16" height="16" title="Von/ By: Stefan Kempter | Profil auf Google+" alt="Autor: Stefan Kempter, IT Process Maps GbR" /></a> &nbsp; und &nbsp;  
 
<span itemprop="contributor">Andrea Kempter</span> &nbsp; <a href="https://plus.google.com/113316270668629760475"><img style="margin:0px 0px 0px 0px;" src="/wiki/de/img/yasm-wiki/bookmarking/google.jpg" width="16" height="16" title="Von/ By: Andrea Kempter | Profil auf Google+" alt="Autor: Andrea Kempter, IT Process Maps GbR" /></a> &nbsp; - &nbsp; <span itemprop="creator copyrightHolder publisher">IT Process Maps</span>.</td>
<p>Basiert auf: Der Security-Management-Prozess aus der <a href="https://yasm.com/de/produkte/yasm-prozesslandkarte" title="YaSM-Prozesslandkarte">YaSM-Prozesslandkarte</a>.</p>
</tr>
<p>Von:&#160;&#160;Stefan Kempter&#160;<a href="https://www.linkedin.com/in/stefankempter"><img style="margin:0px 0px 0px 0px;" src="/wiki/de/img/yasm-wiki/bookmarking/linkedin.jpg" width="16" height="16" title="Von: Stefan Kempter | Profil auf LinkedIn" alt="Autor: Stefan Kempter, IT Process Maps GbR" /></a>&#160;&#160;und&#160;&#160;Andrea Kempter&#160;<a href="https://www.linkedin.com/in/andreakempter"><img style="margin:0px 0px 0px 0px;" src="/wiki/de/img/yasm-wiki/bookmarking/linkedin.jpg" width="16" height="16" title="Von: Andrea Kempter | Profil auf LinkedIn" alt="Koautor: Andrea Kempter, IT Process Maps GbR" /></a>, IT Process Maps.<br style="clear:both;"/><p>
</table>
<p>&nbsp;</p>


<p><small>
<p><small>
<span itemscope="itemscope" itemtype="http://data-vocabulary.org/Breadcrumb">
<span itemprop="breadcrumb" itemscope itemtype="https://schema.org/BreadcrumbList">
<a href="https://yasm.com/wiki/de/index.php/SP7%3A%20Gew%C3%A4hrleisten%20der%20Sicherheit#Prozess-Beschreibung" itemprop="url"><span itemprop="title">Prozess-Beschreibung</span></a>
<span itemprop="itemListElement" itemscope itemtype="https://schema.org/ListItem">
</span>
<a itemprop="item" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#Prozess-Beschreibung"> <span itemprop="name">Prozess-Beschreibung</span></a>
<span itemscope="itemscope" itemtype="http://data-vocabulary.org/Breadcrumb">
<meta itemprop="position" content="1" /></span>
<a href="https://yasm.com/wiki/de/index.php/SP7%3A%20Gew%C3%A4hrleisten%20der%20Sicherheit#Sub-Prozesse" itemprop="url"><span itemprop="title">Sub-Prozesse</span></a>
<span itemprop="itemListElement" itemscope itemtype="https://schema.org/ListItem">
</span>
<a itemprop="item" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#Sub-Prozesse"> <span itemprop="name">Sub-Prozesse</span></a>
<span itemscope="itemscope" itemtype="http://data-vocabulary.org/Breadcrumb">
<meta itemprop="position" content="2" /></span>
<a href="https://yasm.com/wiki/de/index.php/SP7%3A%20Gew%C3%A4hrleisten%20der%20Sicherheit#Prozess-Outputs" itemprop="url"><span itemprop="title">Prozess-Outputs</span></a>
<span itemprop="itemListElement" itemscope itemtype="https://schema.org/ListItem">
</span>
<a itemprop="item" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#Prozess-Outputs"> <span itemprop="name">Prozess-Outputs</span></a>
<span itemscope="itemscope" itemtype="http://data-vocabulary.org/Breadcrumb">
<meta itemprop="position" content="3" /></span>
<a href="https://yasm.com/wiki/de/index.php/SP7%3A%20Gew%C3%A4hrleisten%20der%20Sicherheit#Prozess-Kennzahlen" itemprop="url"><span itemprop="title">Kennzahlen</span></a>
<span itemprop="itemListElement" itemscope itemtype="https://schema.org/ListItem">
</span>
<a itemprop="item" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#Prozess-Kennzahlen"> <span itemprop="name">Kennzahlen</span></a>
<span itemscope="itemscope" itemtype="http://data-vocabulary.org/Breadcrumb">
<meta itemprop="position" content="4" /></span>
<a href="https://yasm.com/wiki/de/index.php/SP7%3A%20Gew%C3%A4hrleisten%20der%20Sicherheit#Rollen%20und%20Verantwortlichkeiten" itemprop="url"><span itemprop="title">Rollen</span></a>
<span itemprop="itemListElement" itemscope itemtype="https://schema.org/ListItem">
<a itemprop="item" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#Rollen_und_Verantwortlichkeiten"> <span itemprop="name">Rollen</span></a>
<meta itemprop="position" content="5" /></span>
</span>
</span>
</small></p>
</small></p>
</div><!-- end of schema.org/WebPage --><p></html>
 
<!-- define schema.org/ItemPage -->
<div itemscope itemtype="https://schema.org/ItemPage">
  <meta itemprop="name Headline" content="SP7: Gewährleisten der Sicherheit" />
  <meta itemprop="alternativeHeadline" content="YaSM Security-Management-Prozess" />
  <link itemprop="primaryImageOfPage" href="https://yasm.com/wiki/de/img/yasm-prozess/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" />
  <meta itemprop="significantLinks" content="https://yasm.com/wiki/de/index.php/YaSM-Kennzahlen" />
  <meta itemprop="significantLinks" content="https://yasm.com/wiki/de/index.php/YaSM-Kennzahlen/_Unterst%C3%BCtzende_Service-Management-Prozesse#metriken-sp7" />
</div>
 
<!-- define schema.org/CreativeWork -->
  <div itemscope itemtype="https://schema.org/CreativeWork">
  <link id="md-type-process" itemprop="additionalType" href="http://www.productontology.org/id/Business_process" />
  <meta itemscope itemprop="mainEntityOfPage" itemType="https://schema.org/ItemPage" itemid="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit" itemref="md-itempage-description">
  <meta itemprop="name" content="SP7: Gewährleisten der Sicherheit" />
  <meta itemprop="alternateName" content="YaSM Security-Management-Prozess" />
  <meta itemprop="alternateName" content="Security-Management-Prozess" />
  <link itemprop="url" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit" />
  <link itemprop="hasPart" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.1">
  <link itemprop="hasPart" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.2">
  <link itemprop="hasPart" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.3">
  <link itemprop="hasPart" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.4">
  <link itemprop="hasPart" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.5">
  <link itemprop="hasPart" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#SP7.6">
  <link itemprop="hasPart" href="https://yasm.com/wiki/de/index.php/SP7:_Gew%C3%A4hrleisten_der_Sicherheit#prozess-inputs-outputs">
  <link itemprop="image" href="https://yasm.com/wiki/de/img/yasm-prozess/Gewaehrleisten-der-sicherheit-yasm-sp7.jpg" />
  <link itemprop="image" href="https://yasm.com/wiki/de/img/yasm-prozess/ziel-definition/yasm-security-management-prozess.jpg" />
  <link itemprop="isPartOf" href="https://yasm.com/wiki/de/index.php/Service-Management-Prozesse#unterstuetzende-prozesse" />
  <meta itemprop="mentions" content="ITIL 4 Information Security Management" />
  <meta itemprop="mentions" content="ITIL 4 Risk Management" />
  <meta itemprop="isBasedOnUrl" content="https://yasm.com/de/produkte/yasm-prozesslandkarte" />
  <meta itemprop="inLanguage" content="de" />
  <link  itemprop="citation" href="https://yasm.com/wiki/en/index.php/SP7:_Ensure_security" />
  <link itemprop="publisher" href="https://yasm.com/de/#YaSMBrand" />
  <link itemprop="copyrightHolder creator" href="https://yasm.com/de/kontakt#ITProcessMapsOrg" />
  <link itemprop="author" href="https://yasm.com/de/allg/team#StefanKempter" />
  <link itemprop="contributor" href="https://yasm.com/de/allg/team#AndreaKempter" />
</div><p></html>


<!-- Diese Seite liegt in folgenden Kategorien: -->
<!-- Diese Seite liegt in folgenden Kategorien: -->
[[Kategorie:YaSM-Prozess]]
[[Kategorie:YaSM-Prozess]]
<!-- keine Inhalte nach diesem Kommentar! -->
<!-- keine Inhalte nach diesem Kommentar! -->

Aktuelle Version vom 12. Oktober 2024, 17:23 Uhr

in English


 

Prozessname: Gewährleisten der Sicherheit - Teil von: Unterstützende Prozesse

Vorhergehender Prozess: Managen von Projekten

Nächster Prozess: Gewährleisten von Kontinuität

 

Prozess-Beschreibung

Der Security-Management-Prozess in YaSM (Abb. 1) garantiert die Sicherheit der vom Service-Provider gemanagten Service-Palette und gleicht die Sicherheitserfordernisse des Service-Providers mit denjenigen der Kunden an. Dies schließt mit ein, sicherzustellen, dass Systeme und Daten vor Einbrüchen geschützt werden und dass Zugriffe nur von autorisierten Parteien erfolgen.

 

Abb. 1: Gewährleisten der Sicherheit. - YaSM Security-Management-Prozess SP7. - Kompatibel mit der Practice ITIL 4 Information Security Management und ITIL 4 Risk Management.
Abb. 1: 'Gewährleisten der Sicherheit'
Der YaSM Security-Management-Prozess SP7.


"Gewährleisten der Sicherheit" beginnt mit der Erstellung eines Registers der Sicherheitsrisiken, in dem die identifizierten Sicherheitsrisiken und ihre Charakteristika ebenso wie geeignete Risikobewältigungsmaßnahmen (Sicherheitsvorkehrungen oder andere Maßnahmen zur Risikoverringerung) aufgelistet sind.

Die YaSM-Prozesse geben dem Sicherheitsmanager für seine Aufgabe eine Reihe von Einflussmöglichkeiten an die Hand. Hierzu gehört insbesondere, dass der Sicherheitsmanager in den Design- und Erstellungsprozess der Services einbezogen wird, um so die Sicherheit neuer oder aktualisierter Services sicherzustellen. Sobald im Verlauf der Design-Phase des Services feststeht, welche Sicherheitsvorkehrungen und -mechanismen für den neuen Service benötigt werden, können diese installiert werden, und zwar

  • über den Prozess "Erstellen von Services" durch Hinzufügen geeigneter Sicherheitsmerkmale zur Service-Infrastruktur, die erstellt oder aktualisiert werden soll,
  • über den Prozess "Gewährleisten der Sicherheit" durch Aktualisierung der Sicherheitsrichtlinien sowie der Sicherheitsmechanismen und -vorkehrungen, die unter der Verantwortung des Sicherheitsmanagers betrieben werden.

Der Sicherheitsmanager ist auch in Service- bzw. Prozessverbesserungs-Initiativen mit einbezogen, wenn Sicherheitsaspekte zu beachten sind.

Falls neue Bedrohungen der Sicherheit bekannt werden oder wenn die Sicherheitsvorkehrungen aus anderen Gründen verbessert werden müssen, kann der Prozess "Gewährleisten der Sicherheit" selbständig Sicherheitsinitiativen starten. Solche Initiativen werden über den Sicherheitsverbesserungs-Plan verwaltet.

Schließlich gewährleistet der Sicherheitsmanager auch dadurch die Sicherheit, dass er Regeln definiert und relevante Informationen bereitstellt, z.B. in Form von unterstützenden Sicherheitsrichtlinien, Incident-und Service-Request-Modellen sowie Sicherheitswarnungen.

Anmerkung: YaSM liefert keine ausführliche Erklärung sämtlicher Aspekte des Sicherheitsmanagements, da es hierfür spezielle und detailliertere Quellen gibt (siehe beispielsweise ISO 27001). YaSM zeigt vielmehr die wichtigsten Aktivitäten des Sicherheitsmanagements auf und beschreibt die Schnittstellen zu den anderen YaSM-Prozessen.

 

Kompatibilität: Der YaSM Security-Management-Prozess ist kompatibel mit ISO 20000, dem internationalen Service-Management-Standard (vgl. ISO/IEC 20000-1:2018, Abschnitt 7) und eignet sich zur Umsetzung der Practices 'Information Security Management' und 'ITIL 4 Risk Management'.

Sub-Prozesse

YaSM's Security-Management-Prozess beinhaltet die folgenden Sub-Prozesse:

SP7.1: Bewerten von Sicherheits-Risiken
Prozessziel: Bestimmen der Risiken, die der Service-Provider gemanagt werden müssen, und Definieren geeigneter Vorgehensweisen zur Behandlung der Risiken.
SP7.2: Definieren von Sicherheits-Verbesserungen
Prozessziel: Definieren der Ziele von Sicherheits-Verbesserungs-Initiativen und des Ansatzes zu deren Implementierung. Dies beinhaltet auch die Erstellung von Kosten-/Nutzen-Analysen für die Initiativen.
SP7.3: Starten von Sicherheits-Verbesserungs-Initiativen
Prozessziel: Starten von Sicherheits-Verbesserungs-Initiativen. Dies beinhaltet auch das Einholen der Genehmigung durch Beantragung eines Budgets und Einreichen eines Requests for Change.
SP7.4: Implementieren von Sicherheits-Vorkehrungen
Prozessziel: Implementieren, Testen und Ausrollen von neuen oder verbesserten Sicherheits-Vorkehrungen und -Mechanismen.
SP7.5: Betreiben der Sicherheits-Vorkehrungen
Prozessziel: Durchführen geeigneter Sicherheits-Schulungen für die Mitarbeiter und Kunden des Service-Providers. Sicherstellen, dass die Kontinuitäts-Vorkehrungen und -Mechanismen regelmäßig gewartet und getestet werden.
SP7.6: Überprüfen der Sicherheits-Vorkehrungen
Prozessziel: Die Sicherheits-Vorkehrungen und -Mechanismen regelmäßigen Reviews zu unterwerfen, um Potentiale für Verbesserungen zu identifizieren, die mit Sicherheits-Verbesserungs-Initiativen adressiert werden sollen.

Prozess-Outputs

Die folgenden Dokumente und Records werden von 'Security-Management' erzeugt. YaSM-Datenobjekte [*] sind mit einem Sternsymbol markiert, und andere Objekte werden in grau dargestellt.

Aktualisierungs-Daten für den Projektplan
Ist-Daten zu Projekt-Fortschritt und Ressourcen-Verbrauch, die von unterschiedlichen Service-Management-Prozessen an den Projektmanager übermittelt werden. Diese Daten sind ein Input für das Projekt-Controlling.
Anforderung zur Bewertung der Compliance-Auswirkungen
Eine Anforderung zur Bewertung, welche Compliance-Anforderungen für einen neuen oder geänderten Service relevant sind, typischerweise erteilt während des Service-Designs.
Anforderung zur Bewertung von Kontinuitäts-Risiken
Eine Anforderung zur Bewertung von Risiken im Zusammenhang mit kritischen Ereignissen; diese wird typischerweise während des Service-Designs erteilt, falls evtl. neue oder geänderte Kontinuitäts-Vorkehrungen für einen neuen oder verbesserten Service benötigt werden.
Bericht zum Sicherheits-Review
Ein Bericht zum Sicherheits-Review zeichnet die Details und Ergebnisse eines Sicherheits-Reviews auf. Dieser Bericht ist eine wichtige Grundlage für die Definition von Initiativen zur Verbesserung der Sicherheit. [*]
Beschaffungs-Anforderung
Eine Anforderung zur Beschaffung von Gütern von einem externen Lieferanten. Beschaffungs-Anforderungen werden typischerweise an den Supplier-Manager gerichtet, wenn z.B. Anwendungen, Systeme oder andere Infrastruktur-Komponenten für die Erstellung eines neuen Service notwendig sind, oder wenn Standard-Infrastruktur-Komponenten oder Verbrauchsgüter für den Service-Betrieb benötigt werden.
Budget-Anforderung
Eine Budget-Anforderung wird typischerweise erstellt, um finanzielle Mittel für das Erstellen, Verbessern oder Betreiben eines Service oder Prozesses zu erhalten. Eine genehmigte Budget-Anforderung bedeutet, dass die finanziellen Ressourcen vom Finanz-Manager zugeteilt wurden. [*]
Change Record
In einem Change Record sind alle Einzelheiten eines Changes enthalten; er dokumentiert somit den Lebenszyklus eines einzelnen Changes. Zu Beginn beschreibt ein Change Record einen Change-Antrag (Request for Change, RFC), der vor der Implementierung des Changes zu bewerten und freizugeben ist. Weitere Informationen werden im Verlauf des Changes hinzugefügt. [*]
CI Record
Konfigurations-Information wird für alle Konfigurations-Elemente (Configuration Items, CIs) in CI Records gepflegt, die unter der Kontrolle des Konfigurations-Managers stehen. In diesem Zusammenhang gibt es unterschiedliche Typen von CIs: Anwendungen, Systeme und andere Infrastruktur-Komponenten werden als CIs behandelt, aber oft auch Services, Richtlinien, Projektdokumente, Mitarbeiter, Lieferanten usw. Konfigurations-Informationen sind im Konfigurations-Management-System (Configuration Management System, CMS) verzeichnet. [*]
Incident-Modell
Incident-Modelle enthalten die vordefinierten Schritte zum Umgang mit einem bestimmten Incident-Typ. Incident-Modelle dienen dem Zweck, wiederkehrende Incidents effektiv und effizient zu bearbeiten. [*]
Informationen zum Change-Status
Aktuelle Status-Informationen zur Implementierung eines Changes. Diese Informationen werden dem Change-Manager von den verschiedenen Prozessen zur Verfügung gestellt, die freigegebene Changes implementieren. Der Change-Manager wird so in die Lage versetzt, die Change Records und die Change-Planung aktuell zu halten.
Register der Sicherheits-Risiken
Das Register der Sicherheits-Risiken ist ein vom Sicherheits-Manager genutztes Tool, das eine Übersicht über sämtliche Sicherheits-Risiken bietet, die zu managen sind. Das Register der Sicherheits-Risiken spezifiziert auch, wie die identifizierten Risiken behandelt werden; insbesondere nennt es die Sicherheits-Vorkehrungen und -Mechanismen zur Risikominderung. [*]
Security Alert
Ein Security Alert (Sicherheits-Alarm) wird typischerweise vom Sicherheits-Manager herausgegeben, wenn Bedrohungen der Sicherheit absehbar oder bereits eingetreten sind. Sicherheits-Warnungen werden mit dem Ziel veröffentlicht, Anwender und Mitarbeiter in die Lage zu versetzen, Angriffe auf die Sicherheit zu erkennen und sich mit geeigneten Maßnahmen zu schützen.
Service-Request-Modell
Service-Request-Modelle enthalten die vordefinierten Schritte zum Umgang mit einem bestimmten Typ von Serviceauftrag. Request-Modelle dienen dem Zweck, häufig wiederkehrende Serviceaufträge effektiv und effizient zu bearbeiten. [*]
Sicherheits-Betriebshandbuch
Das Sicherheits-Betriebshandbuch spezifiziert die in der Verantwortung des Sicherheits-Managers liegenden Aktivitäten, die für den Betrieb der Sicherheits-Vorkehrungen und -Mechanismen erforderlich sind. Einige Anweisungen für den Betrieb bestimmter Sicherheits-Systeme können in separaten technischen Handbüchern oder 'Standardarbeitsanweisungen (Standard Operating Procedures, SOP)' dokumentiert werden. [*]
Sicherheits-Verbesserungs-Plan
Einträge im Sicherheits-Verbesserungs-Plan (Security Improvement Plan) dienen dem Sicherheits-Manager zur Erfassung und dem Management von Sicherheits-Verbesserungs-Initiativen über ihren gesamten Lebenszyklus. Initiativen im Sicherheits-Verbesserungs-Plan können vorbeugende Maßnahmen zur Erhöhung der Sicherheit implementieren, oder Mechanismen einrichten, mit denen effektiv auf Sicherheitsverletzungen reagiert werden kann. [*]
Testprotokoll
Ein Testprotokoll stellt einen detaillierten Bericht zu Testaktivitäten bereit. Ein solches Protokoll wird z.B. während der Tests neuer oder geänderter Service-Komponenten erstellt, oder während der Tests von Sicherheits- oder Service-Kontinuitäts-Mechanismen. [*]
Testskript
Ein Testskript bzw. Testdrehbuch spezifiziert einen Satz von Testfällen einschließlich der erwarteten Ergebnisse. Die Art der Testfälle hängt davon ab, was zu testen ist. [*]
Unterstützende Sicherheits-Richtlinie
Unterstützende Sicherheits-Richtlinien sind spezielle Richtlinien, die die übergeordnete Sicherheits-Richtlinie ergänzen. Sie stellen bindende Regeln auf, z.B. für die Nutzung von Systemen und Daten oder die Nutzung und Erbringung von Services. [*]
Vorschlag zur Prozess-Änderung
Ein Vorschlag zur Änderung eines oder mehrerer Service-Management-Prozesse. Vorschläge für Prozess-Änderungen oder -Verbesserungen können an jeder Stelle innerhalb der Organisation entstehen.
Vorschlag zur Service-Änderung
Ein Vorschlag zur Änderung eines Service, z.B. zur Verbesserung der Qualität oder Wirtschaftlichkeit des Services. Solche Vorschläge können an jeder Stelle innerhalb oder außerhalb der Service-Provider-Organisation entstehen.
Vorschlag zur Sicherheits-Optimierung
Ein Vorschlag zur Verbesserung der Service-Sicherheit. Solche Vorschläge können an jeder Stelle innerhalb der Organisation entstehen.

 


Anmerkungen:

[*] "YaSM-Datenobjekte" sind Dokumente und Records, für die YaSM detaillierte Empfehlungen bereithält: Für jedes YaSM-Objekt gibt es eine Checkliste (siehe Beispiel), die die typischen Inhalte beschreibt, und ein Lifecycle-Diagramm, das darstellt, wie sich der Zustand des Objekts ändert, während es von verschiedenen YaSM-Prozessen erstellt, geändert, gelesen und archiviert wird (siehe Beispiel).

"Andere Objekte" sind eher informelle Daten oder Informationen. Es gibt aus diesem Grund keine zugehörigen Lifecycle-Diagramme oder Checklisten.

Prozess-Kennzahlen

Prozesskennzahlen werden benötigt, wenn gemessen werden soll, ob die Service-Management-Prozesse "zufriedenstellend" laufen.

Vorschläge zu geeigneten Prozess-Kennzahlen entnehmen Sie der Liste von Kennzahlen zum Security-Prozess.

Rollen und Verantwortlichkeiten

Prozess-Owner: Der Sicherheits-Manager ist verantwortlich für die Sicherheit des Service-Providers und dessen Kunden. Dies schließt unter anderem die Verantwortung für die Sicherheit der vom Service-Provider verarbeiteten Informationen und Daten mit ein.

 

Verantwortlichkeits-Matrix 'SP7: Gewährleisten der Sicherheit'
YaSM-Rolle / Sub-Prozess Compli.-Mgr. Oper. Proz.-Owner Sicherh.-Mgr. Serv.-Kontin.-Mgr. Serv.-Owner Techn.- Fach­exp.
SP7.1 Bewerten von Sicherheits-Risiken - - R AR - R -
SP7.2 Definieren von Sicherheits-Verbesserungen R - - AR R - -
SP7.3 Starten von Sicherheits-Verbesserungs-Initiativen - - - AR - - -
SP7.4 Implementieren v. Sicherheits-Vorkehrungen - R - AR - - R
SP7.5 Betreiben der Sicherheits-Vorkehrungen - R - AR - - -
SP7.6 Überprüfen der Sicherheits-Vorkehrungen - - - AR - - -

 

Anmerkungen

Der Security-Management-Prozess in YaSM dient dem Gewährleisten der Sicherheit der vom Service-Provider gemanagten Service-Palette, sowie dem Angleichen der Sicherheitserfordernisse des Service-Providers mit denjenigen der Kunden.
Security Management: Prozess-Ziele

Basiert auf: Der Security-Management-Prozess aus der YaSM-Prozesslandkarte.

Von:  Stefan Kempter Autor: Stefan Kempter, IT Process Maps GbR  und  Andrea Kempter Koautor: Andrea Kempter, IT Process Maps GbR, IT Process Maps.

 

Prozess-Beschreibung  › Sub-Prozesse  › Prozess-Outputs  › Kennzahlen  › Rollen