ISO/IEC 21827 (SSE-CMM)

Titel:	Informationstechnik
Arbeitsgebiet:	IT-Sicherheitsverfahren
Name des Standards:	Capability Maturity Model [SSE-CMM®] Model der Ablaufstauglichkeit

Inhalt und Anwendungsbereich

Ziel des Dokumentes ist es, Informationssicherheit mittels eines Prozess-Referenz-Modells darzustellen. Der Standard wurde Mitte der Neunziger Jahre in den USA von staatlichen Behörden und einigen Großunternehmen aus dem allgemeinen Reifegradmodell dem sog. Capability maturity model (CMM), das besonders in der Softwareentwicklung verbreitet ist, weiterentwickelt und an die speziellen Anforderungen des Sicherheitsmanagements angepasst.

Es dient dem Managen von Sicherheit in einer Organisation, indem es die einzelnen Aktivitäten – also das “Wie” – beschreibt. Der organisatorische Reifegrad in Bezug auf das Sicherheitsmanagement wird betrachtet. Das Dokument richtet sich an den IT-Sicherheitsbeauftragten einer Organisation.

Methodik

Der Standard unterteilt die sichere Systementwicklung in drei voneinander abhängige Hauptprozesse: Risiko, Vertrauenswürdigkeit und System-Lebenszyklus. Es beschreibt generische und Basis-Aktivitäten. Diese Aktivitäten befähigen eine Organisation zur Entwicklung und Einführung eines systematischen, wohl definierten Prozesses, der es ihr ermöglicht, einen bestimmbaren Reifegrad zu erreichen.

Das Prozess-Referenz-Modell hat zwei Dimensionen (domain und capability), die nach Aktivitäten strukturiert sind. Die Basis-Aktivitäten teilen sich in solche, die zur sicheren Entwicklung erforderlich sind und andere, die zur Projektorganisation beitragen. Die 61 auf die sichere Entwicklung bezogenen Basis-Aktivitäten werden in elf Prozess-Bereiche zusammengefasst. Bezogen auf die Projektorganisation werden weitere 68 Basis-Aktivitäten (zusammengefasst in wiederum elf Prozess-Bereiche) dargestellt. Die generischen Aktivitäten, die auf alle Prozesse anwendbar sind, lassen sich fünf Fähigkeitsstufen geordnet nach aufsteigendem Reifegrad zuordnen. Folgende Reifegrade sind in SSE-CMM vorgeschlagen:

Reifegrad	Bezeichung	Erläuterung
0	Nicht umgesetzt
1	Formlos umgesetzt	Es existieren zwar einzelne Maßnahmen. Ein wirklicher Prozess ist aber kaum organisiert und noch sehr instabil
2	Geplant und weiterverfolgt	Ein stabiler Prozess existiert und wird in Projekten mit einem Projektmanagement gelebt
3	Gut definiert	Ein Prozess ist definiert und es existiert ein Prozessmodell, das eine konsistente Implementierung des Prozesses sicherstellt
4	Quantitativ kontrolliert	Es existieren Prozessmessungen und Prozessdatenanalysen, die für die Weiterentwicklung des Prozesses genutzt werden
5	Kontinuierlich verbessernd	Das Management ist regelmäßig in die Prozessbewertung und die weitergehende Prozessoptimierung einbezogen

Über vordefinierte Prüflisten lässt sich ohne großen Aufwand der eigene Status für die einzelnen Sicherheitsprozesse innerhalb einer sechsstufigen Skala ablesen und somit auch ein Benchmarking und ein Zielbeschreibung durchführen. Somit ist dies ein guter Folgeschritt nach der Etablierung eines ISMS, zum Beispiel nach ISO/IEC 27001 oder IT-Grundschutz.
Aber auch in der Entwicklungs- und Etablierungsphase lohnt sich ein Blick in diesen Standard, da hier Teilprozesse teilweise stärker konkretisiert sind, als dies etwa in BS 7799 der Fall ist.

Weitere Anmerkungen

Das Dokument ist generisch gehalten, um auf alle Organisationen unbeachtet Typ, Größe und Geschäftsfeld anwendbar zu sein. Das Dokument beinhaltet Anforderungen an den Managementprozess, der mittelbar zur Informationssicherheit beiträgt. Die einzelnen Aktivitäten des Managementprozesses werden detailliert beschrieben und begründet. Elemente des Managementsystems werden nicht dargelegt. Der Fokus liegt also eindeutig auf dem “Prozess”.

Bisherige Ausgaben

ISO/IEC 21827:2008
ISO/IEC 21827:2002

ISO/IEC 21827 (SSE-CMM)

ISO/IEC 21827 (SSE-CMM)

Standards in diesem Bereich