Planung ISMS

Planung eines Information Security Management Frameworks und Erstellung einer Roadmap

 Mehrwert
  • Business Continuity sicher gestellt
  • IKS Anforderungen der WPs implementiert
  • Sensibilität erhöht und Lösungen demonstriert
  • Stabiles Sicherheitsframework erstellt um IT Investitionen zu rechtfertigen

Der Kunde

Der Kunde ist eine Europäische Airline. Sein Ziel ist es im veränderten Markt konkurrenzfähig zu bleiben und neue Dienstleistungen anzubieten. Die Konkurrenz entwickelte bereits starke Alleinstellungsmerkmale. Steigender Kostendruck und sinkende Preise des Mitbewerbs schmälern bereits den Gewinn.

Es gab wiederholt Audits durch Wirtschaftsprüfer mit Mängeln im gesamten Unternehmen. Es existierte bislang nur eine Draftversion einer IT Sicherheitspolicy. Es war also keine globale Policy in Kraft welche die IT Sicherheitsziele beschreiben sollte. Das Unternehmen hatte sich in der Vergangenheit ausschließlich auf physikalische Sicherheit konzentriert. Der Security Officer hatte das Unternehmen bereits aus Altersgründen verlassen.

Herausforderung

Ziel war es zunächst die Unterschiede zwischen existierenden (Draft) Policies sowie den Ergebnissen der Audits zu erkennen. Es wurden u.a. die folgenden Policies beauftragt:
  • Disaster Recovery, Business Continuity Policy
  • Encryption Policy
  • Disaster Recovery, Business Continuity Policy
  • Security Requirements for 3rd Parties
  • Security Awareness Program
  • Monitoring Systems Guideline
  • Incident Handling Procedures
  • Backup Procedures
  • Server Installation Procedures
  • Server Performance monitoring Procedures

Die Überarbeitung der in Draft befindlichen globalen Information Security Policy stand im Fokus, da diese die Grundlage für alle weiteren Entwicklungen darstellt. Es sollten die folgenden fünf Ebenen eingezogen werden: Legislative, Corporate Level, Standards, Procedures, Guidelines.

Lösung

Bei der Untersuchung der Ergebnisse der Audits, der behördlichen Auflagen sowie der in Draft befindlichen Policies stellte sich heraus, dass ein umfassender Masterplan für die Airline erstellt werden musste.

Basis für alle weiteren Arbeiten stellte das Strategiepapier der Airline dar. Alle Initiativen wurden als zukünftige Anforderungen in ein typisches Security Framework einmodelliert. Oberstes Ziel war dabei die Schließung der offenen Punkte der Wirtschaftsprüfer. Typische Controls aus dem COBIT1 Framework wurden in das zukünftige Security Management Framework übernommen.

Herausstellungsmerkmale der geplanten Onboard-IT-Dienste wurden berücksichtigt und durch das Framework abgesichert. Dadurch wurde die Entwicklung der neuen IT-Dienste unterstützt. Incident Prozeduren wurden skizziert um schnelle Wiederherstellung von IT-Diensten sowohl Onboard als auch auf dem Boden zu ermöglichen.

Aus der Information Systems Strategie wurde das IT Security Framework entwickelt.

Ergebnisdokumente waren unter anderem:

  • Security Framework
  • Angepasstes Unternehmens-Organigramm mit IT-Sicherheits-Verantwortlichen
  • Globale Sicherheitspolicy
  • Überarbeitete Sicherheitsprozeduren
  • Beschreibung der Rolle des zukünftigen ISO (Information Security Officer)
  • Roadmap für die nächsten zwei Jahre
  • Entscheidungsvorlagen für das Mangementboard

Die Roadmap stellte die Grundlage für die weitere Projektplanung dar. Für die bereits geplante Entwicklung von IT-Services wurden auf der Zeitachse die Meilensteine zur Entwicklung der dafür notwendigen Policies, Procedures und Guidelines dargestellt.

Projektmethodik

Anforderungsanalyse, Pflichtenheft, Informationsakquise, Interviews, Dokumentation, Managementpräsentation

Verwendete Quellen:

  • Security Standard ISO/IEC 27001:2005
  • SANS2 structured template policies
  • Information Systems Strategiepapier

1: Control Objectives for Information and Related Technology ist das international anerkannte Framework zur IT-Governance
2: SysAdmin, Audit, Network, Security (Organisation)