Die ISO/IEC 13335 besteht aus dem Teil 1, in den die vorherigen Technischen Reports (TR) 1 und 2 aufgegangen sind, sowie den TR 3 - 5. TR 5 fand Eingang in die Norm ISO/IEC 18028-1. Der vorliegende Artikel beschreibt die Elemente der ISO/IEC 13335 und vergleicht sie mit der ISO 27001, ISO 27002, ISO 20000, den IT-Grundschutzkatalogen (IT-GSK) sowie der dreidimensionalen Sicherheitspyramide nach Dr.-Ing. Müller.

Die ISO/IEC 13335 enthält Definitionen, Überlegungen und Konzepte für das IuK-Sicherheitsmanagement. Hierzu gehört z. B. das Konzept der hierarchischen Security Policies und das Muster der Sicherheitsorganisation. Wenngleich wesentliche Elemente sich in den IT-Grundschutzkatalogen des BSI wiederfinden, erscheinen z.B. die Definitionen der Grundwerte in der ISO/IEC 13335 schlüssiger und konsistent. Eine gegenüber der Norm durchgängigere Sicherheitshierarchie enthält die dreidimensionale Sicherheitspyramide.

Überblicksartig spricht die ISO/IEC einen Lebenszyklus an. Einen differenzierten Lebenszyklus z.B. für IT-Systeme enthält seit längerem die zuvor genannte Sicherheitspyramide. Die BSI IT-GSK betrachten erstmals seit November 2006 das Thema Lebenszyklus in Form einer Maßnahme.

Das Thema Risikoanalyse des TR 3 in Form des kombinierten Ansatzes ist vergleichbar dem Vorgehen im BSI-Standard 100-2. Ein systematisches und durchgängiges Vorgehensmodell zum Risikomanagement beschreibt das Buch "IT-Sicherheit mit System", Auflage 3, bzw. das "Handbuch Unternehmenssicherheit".

IT-Prozesse spricht die ISO/IEC 20000 an sowie in umfangreicher Form ITIL(R). Ein durchgängiges und integratives Vorgehensmodell für das IT-Sicherheitsmanagement bzw. das Sicherheitsmanagement bietet die dreidimensionale Sicherheitspyramide, die in den zuvor genannten Büchern beschrieben ist. Sie beinhaltet bereits Themenbereiche von Normen und Practices, wie z.B. Sicherheitshierarchie, Lebenszyklus, Prozesse und Ressourcen sowie Kennzahlen.

Fachthemen

IT-Sicherheit