-- WEBONDISK OK --

03240 IT-Security-Prozesse im Unternehmen – strukturieren und darstellen

In diesem Beitrag erfahren Sie, was unter einem Prozess im Zusammenhang mit einem Unternehmen oder einer Organisation zu verstehen ist, und wird gezeigt, wie Sie Prozesse strukturieren, darstellen und dokumentieren können. Die verschiedenen Möglichkeiten zur Prozessdefinition und Prozessdarstellung werden anhand von konkreten Beispielen aus der Praxis erläutert.
Arbeitshilfen:
von:

1 Der Prozessbegriff

Problemstellung
Spätestens seit der Revision der Qualitätsmanagementsystem-Normenreihe ISO DIN EN 9000 im Jahre 2000 sind die Begriffe „Prozess” und „Prozessorientierung” zu einem festen Bestandteil des Managementvokabulars in Industrie und Dienstleistungsunternehmen geworden. Die ISO 9001 hat mit ihrem prozessorientierten Ansatz einen entscheidenden Impuls hierfür gegeben. Sie macht allerdings nur sehr allgemeine Aussagen dazu, was unter einem Prozess zu verstehen ist, wie Prozesse im Unternehmen strukturiert, dargestellt und dokumentiert werden sollen.
Dies hat zur Folge, dass eine Vielzahl von Prozessbegriffen mit den unterschiedlichsten Definitionen und Inhalten entstanden ist. So werden z. B. die Begriffe „Geschäftsprozess”, „Hauptprozess”, „Kernprozess” oder „Schlüsselprozess” einerseits völlig unterschiedlich interpretiert, andererseits aber auch synonym verwendet.
Was ist ein Prozess?
Einige grundsätzliche Fragen sind daher:
Wie soll der Begriff „Prozess” verstanden werden?
Welche Form der Darstellung von Prozessen ist möglich und angemessen?
Wie stellt man die Wechselwirkung von Prozessen dar?
ISO 9001 und IS0.27001
Die für das Security Management bestehende Norm ISO/IEC 27001 „Information technology – Security techniques – Information security – management systems – Requirements” ist in ihrer Struktur und in ihrem Inhalt der Norm ISO 9001 sehr ähnlich. Auch das Verständnis des Prozessbegriffes ist in beiden Normen identisch. Informationssicherheit ist kein statischer Zustand, sondern das kontinuierliche Ergebnis von festgelegten und gelebten Prozessen, die dem Regelkreis „Plan-Do-Check-Act” (PDCA) unterworfen sind.
ISO 9001:2000
Die ISO 9000 definiert Prozess wie folgt: „Satz zusammenhängender oder sich gegenseitig beeinflussender Tätigkeiten, der Eingaben zum Erzielen”
DGQ
Eine ähnliche Definition bietet die Deutsche Gesellschaft für Qualität (DGQ) an:
„Gesamtheit der Tätigkeiten, die sich gegenseitig bedingen oder beeinflussen und unter Verwendung von Ressourcen Eingaben in Ergebnisse umwandeln”.
Produkt
Auch der Begriff „Produkt” wird in beiden Systemen/Normen nicht unterschiedlich behandelt. Schließlich ist das Ergebnis einer Dienstleistung oder Tätigkeit nichts anderes als ein Produkt, auch wenn es nicht im konventionellen Sinn etwas „zum Anfassen” ist.
Prozess ist hier ganz allgemein definiert und kann nach DGQ in folgende spezielle Prozesse unterteilt werden:
Geschäftsprozess
Produktionsprozess
Juristischer Prozess
Projekt
Entwicklung
Geschäftsprozess wird hierbei definiert als „Prozess, der auf den dauerhaften Erfolg der Organisation ausgerichtet ist”.

2 Strukturierung der Prozesse

Überblick
Die Prozesse in einem Unternehmen, die Geschäftsprozesse, werden häufig wie folgt gegliedert – siehe auch Abbildung 1:
Managementprozesse
Kernprozesse
Unterstützende Prozesse
Diese Prozesse bestehen jeweils aus
Hauptprozessen,
Schlüsselprozessen und
Teilprozessen.
Abb. 1: Strukturierung der Prozesse im Unternehmen
Schlüsselprozesse
Die für den Unternehmenserfolg wichtigsten Prozesse werden vielfach als „Schlüsselprozesse” bezeichnet. Diese Prozesse erfordern die besondere Aufmerksamkeit des Managements.
Weitere/ synonyme Begriffe
Neben den genannten Begriffen gibt es eine ganze Reihe anderer Begriffe, die synonym verwendet werden – siehe Abbildung 2.
Tabelle 1: Synonyme von Prozessbegriffen
 
Auch bezeichnet als
Managementprozesse
Führungsprozesse
Kernprozesse
Hauptprozesse
Geschäftsprozesse
Leistungsprozesse
Schlüsselprozesse
Unterstützende Prozesse
Serviceprozesse
Supportprozesse
 
Schlüsselprozesse
Kernprozesse
Da für diese Prozessbegriffe keine Norm existiert, werden die Begriffe sowohl in der Praxis als auch in der Literatur sehr unterschiedlich verwendet. In diesem Beitrag wird die Strukturierung nach Abbildung 1 verwendet.
Managementprozesse
Im Verständnis der ISO/IEC 27001 ist das Information security management system (ISMS) Teil des umfassenden Managementsystems. Es basiert auf Verfahren zur Risikobetrachtung des Geschäftsbetriebs. Damit wird die Informationssicherheit etabliert, eingeführt, gearbeitet, überwacht, geprüft, aufrechterhalten und verbessert. Im Managementsystem schaffen die Managementprozesse die Voraussetzungen und Rahmenbedingungen für die übrigen Prozesse, insbesondere die Kernprozesse.
IT-Prozesse als unterstützende Prozesse
Die Prozesse der Informationssicherheit (im Sinne der ISO 27001) werden in Organisationen, für welche die Informationstechnik (IT) lediglich ein indirektes Mittel zur Erfüllung ihrer Unternehmenszwecke ist, in der Regel keine Kernprozesse darstellen. Dennoch sind die IT-Prozesse auch für derartige Unternehmen von hoher Bedeutung, wenn sie in erheblichem Maße von einer funktionsfähigen, verfügbaren und sicheren IT abhängig sind. Ausfälle von wenigen Stunden oder Tagen können Unternehmen in den kurzfristigen Ruin führen. IT-Prozesse werden in solchen Unternehmen partiell zu den Managementprozessen und insbesondere zu den unterstützenden Prozessen gehören.
Einige Beispiele für Managementprozesse sind:
Entwicklung und Anpassung der Qualitäts- und Umweltpolitik
Strategieentwicklung
Unternehmensplanung
Lenkung der Produkt- und Dienstleistungsentwicklung
Managementbewertung (Management-Review)
Prozesswelt der IT-Industrie
In Unternehmen, die IT-Dienstleistungen als Unternehmenszweck für Dritte erbringen (Rechenzentren, Application Service Provider, Telekommunikations-Diensteanbieter, System- und Softwarehäuser, …) und/oder IT-Produkte vertreiben, werden sich die Prozesse der Informationssicherheit verstärkt sowohl in den Management- als auch umfassend in den Kernprozessen wiederfinden.
Beispiele Managementprozesse der Informationssicherheit
Entwicklung und Anpassung der Informationssicherheitspolitik
Kosten/Nutzen-Bewertung der Informationssicherheit
Risikomanagement der IT-Sicherheit
Personalqualifizierung im Bereich der Informationssicherheit
Managementbewertung (Management-Review) der Informationssicherheit
Kernprozesse
Definition
Kernprozesse sind solche Prozesse im Unternehmen, die eine Wertschöpfung beinhalten und damit direkt oder indirekt zur Erfüllung von Kundenanforderungen beitragen.
Beispiele Kernprozesse „Produktionsbetrieb”
Kernprozesse in einem produzierenden Unternehmen sind z. B.:
Vertrieb
Produktentwicklung
Entwicklung von Dienstleistungen
Auftragsabwicklung (für Produktherstellung und -lieferung)
Auftragsabwicklung (für Dienstleistungserbringung)
Beschaffung
Produktion/Dienstleistungserbringung
Lagerung und Versand
Kundendienst (After Sales Support)
Beispiele für Kernprozesse „Dienstleistungs-Betrieb”
In einer Dienstleistungsorganisation, z. B. einem Beratungsunternehmen, können sich die Kernprozesse beziehen auf
Angebotserstellung,
Durchführung der Dienstleistung,
Hot-Line (Service).
Beispiele Kernprozesse „IT-Unternehmen”
In Unternehmen der Informationstechnologie sind typische Kernprozesse:
Sicherstellung der geforderten/festgelegten Verfügbarkeit der IT auf Basis der festgelegten Service Level Agreement (SLA)
Unterstützung der IT-Benutzer über einen mehrstufigen Hot-Line Support mit festgelegten Reaktionszeiten
Durchführung von Datensicherungen und –archivierungen nach den gesetzlichen Forderungen und den Anforderungen der Kunden
Unterstützende Prozesse
Unterstützende Prozesse liefern im Gegensatz zu den Kernprozessen keine direkte Wertschöpfung. Gleichwohl sind sie für einen effektiven und zuverlässigen Ablauf der Management- und Kernprozesse unerlässlich.
Beispiele unterstützende Prozesse
Einige Beispiele für unterstützende Prozesse sind:
Personalverwaltung
Prüfmittelüberwachung (auch IT-Prüfmittel)
Auditplanung und -durchführung
Beschaffung (IT-Infrastruktur, Outsourcing, …)
Schlüsselprozesse
Je nach Branche, Markt-, Finanz- und/oder Personalsituation können die Schlüsselprozesse von Unternehmen zu Unternehmen unterschiedlich sein. Auch innerhalb eines Unternehmens unterliegen die Schlüsselprozesse eventuell einem Wandel, so kann z. B. die Personalentwicklung zu einem entscheidenden Faktor und damit zu einem Schlüsselprozess werden, wenn ein Mangel an qualifiziertem Personal herrscht, der die Unternehmensentwicklung beeinträchtigt.

3 Darstellung der Prozesse

An die Beschreibung der Prozesse stellt die ISO/IEC 27001 wie die DIN EN ISO 9001 keine besonderen Anforderungen. Es empfiehlt sich jedoch, eine der Komplexität des Prozesses angemessene Darstellungsform zu wählen, die den Prozess verständlich und nachvollziehbar macht. Es ist immer eine solche Darstellungsform zu wählen, die von den „Anwendern (Lesern)” der Prozessbeschreibung „am besten” verstanden wird.
Beispielprozess Beschaffung
Im Folgenden werden einige unterschiedliche Darstellungsformen anhand eines Beispielprozesses (hier Beschaffung) beschrieben. Dieses Beispiel wurde gewählt, weil dieser Ablauf in jedem Unternehmen fast identisch ist.
Prozessbeschreibung in Tabellenform
Für einfache Prozessabläufe eignet sich eine Darstellung in Tabellenform (Beispiel s. Anhang 1).[ 03240_a.docx]
Prozessdarstellung als Kombination von Ablaufdiagramm und Tabelle
Die Visualisierung des Prozessablaufes durch grafische Symbole verbessert die Übersichtlichkeit (Beispiel s. Anhang 2).[ 03240_b.docx]
Prozessdarstellung als Flussdiagramm
In dieser Darstellungsform sind die Verzweigungen des Prozesses anschaulich visualisiert. Texte für die Prozessschritte und die zuständigen Funktionsträger sind in die Symbole integriert (Beispiel s. Anhang 3).[ 03240_c.xlsx]
Prozessablaufdiagramm
Die Abbildung in Anhang 4 zeigt das gewählte Beispiel in Form eines Prozessablaufdiagramms, in dem sowohl die Prozessschritte als auch die Dokumente und die prozessbeteiligten Abteilungen/Personen dargestellt sind. Diese Darstellung macht die Komplexität des Prozesses deutlich sichtbar und liefert dadurch Anhaltspunkte für die Prozessoptimierung (Beispiel s. Anhang 4).[ 03240_d.vsdx]
Die Prozesslandkarte
Ein geeignetes Instrument zur Darlegung und Risikobetrachtung der Abfolge und Wechselwirkung der Prozesse ist die sogenannte Prozesslandkarte. In ihr werden die Abfolge und Verknüpfungen der Prozesse sichtbar gemacht (Beispiel s. Anhang 5).[ 03240_e.pptx]
Fazit
Die systematische Darstellung der Prozessabläufe in einem Unternehmen hat den Vorteil, dass man sich darüber klar wird, an welchen Stellen Widersprüche auftauchen. Darüber hinaus liefert diese Darstellungsweise Hinweise darauf, wo Verbesserungspotenziale vorhanden sind. Die Art der Darstellung spielt hierbei eine untergeordnete Rolle. Die hier beschriebenen Darstellungsformen sollen dazu anregen,
1.
in einer klar strukturierten Form vorzugehen und
2.
die aus Sicht des Betrachters sinnvollste Darstellungsform zu wählen.
Wichtig
Wichtig ist in allen Fällen, jeden Schritt auf Plausibilität und Durchführbarkeit zu hinterfragen. Nur so lassen sich ein klares Bild aller Prozessschritte und eine bessere Akzeptanz beim Anwender bzw. beim Prozesseigentümer erzielen.

Weiterlesen und den „Information Security Management“ 4 Wochen gratis testen:

  • Das komplette Know-how in Sachen Informationssicherheit und Datenschutz
  • Zugriff auf über 230 Fachbeiträge und 210 Arbeitshilfen
  • Onlinezugriff – überall verfügbar


Sie haben schon ein Abonnement oder testen bereits? Hier anmelden

Ihre Anfrage wird bearbeitet.
AuthError LoginModal