Zielsetzung des Security Managements auf Basis der ITIL Best Practice ist es, die Sicherheitsanforderungen aus SLAs (Service Level Agreements) oder anderer externer Anforderungen sicherzustellen sowie ein definiertes Grundschutzniveau herzustellen.
Informationen und die damit verbundene IT-Unterstützung (IT Services) sind ein entscheidender Produktionsfaktor geworden. In manchen Branchen ist die IT bereits als der wichtigste Produktionsfaktor anzusehen.
Durch das Security Management soll die notwendige Sicherheit der IT und damit die Aufrechterhaltung der geschäftlichen Tätigkeit eines Unternehmens gewährleistet werden. Security Management auf Basis der „ITIL Best Practice“ zeichnet sich dabei durch eine Fokussierung auf die geschäftlichen Anforderungen und die Sicherstellung der IT Services aus.
Mit der ITIL V3 wurde der Prozess Security Management in die Phase Service Design übernommen.
Zielsetzung
Das Ziel des Security Managements kann wie folgt untergliedert werden:
- Sicherstellung, dass die Sicherheitsanforderungen in den SLAs und anderer externer Anforderungen - wie Gesetze, Verträge, Compliance-Anforderungen, etc. - erfüllt werden
- Schaffung eines definierten Grundschutzniveaus
IT Service Management auf Basis von ITIL orientiert sich an den geschäftlichen Anforderungen eines Unternehmens und richtet daran seine IT Services aus. Dies gilt auch und gerade für das Security Management auf Basis der ITIL Best Practice.
Vielfach wird mit „IT Security“ ausschließlich die Vertraulichkeit von Informationen in Verbindung gebracht. ITIL® geht hierüber hinaus und steht damit in enger Verbindung mit der ISO 27001 (früher ISO 17799 bzw. BS 7799). Gemäß der ISO 27001 wird Sicherheit wie folgt verstanden: „Die Implementierung zu begründender Schutzmaßnahmen zwecks Sicherstellung fortgesetzter IT Services innerhalb sicherer Parameter, als da sind: Vertraulichkeit, Integrität und Verfügbarkeit.
- Vertraulichkeit (confidentiality)
Schutz sensibler Informationen (Daten) vor nicht autorisiertem Zugriff - Integrität (integrity)
Schutz sensibler Informationen (Daten) vor ungewollter Veränderung - Verfügbarkeit (availability)
Sicherstellen, dass Informationen (Daten) und unerlässliche IT Services verfügbar sind, wenn sie gefordert werden.