Die Identifizierung der eigenen geschäftskritischen Prozesse ist der erste Start für ein BCM -Management und die daraus resultierenden notwendigen Maßnahmen zur Aufrechterhaltung der kritischen Prozesse. Für die einzelnen Prozesse werden abhängig von der Kritikalität maximal tolerierbare Ausfallzeiten und mögliche Wiederanlaufprozeduren definiert.

Notfallkonzepte sehen in der Regel koordinierte Vorgehensweisen vor:

  • Sofortmaßnahmen (Ausrufen des Notfalls – aktivieren der Notfallkette)
  • Notfallprozesse anlaufen lassen (Umschaltung auf Notbetrieb)
  • Durchführung des Notbetriebs (Notfallumsetzung)
  • Rückführung des Notfallbetriebs in den Normalbetrieb (Wiederanlaufplanung)
  • Nachbearbeitung des Vorfalls (Forensik)

Für alle fünf diese verschiedenen Phasen sollten dann entsprechende Pläne existieren, die die erfolgreiche Durchführung beschreiben und unterstützen. Neben diesen Notfallplänen ist auch das Krisenmanagement Bestandteil der Business Continuity.
Für Krisenfälle sind ebenfalls entsprechende Konzepte zu etablieren, um schnell und effizient zu reagieren. Die Strukturen definieren Rollen, Verantwortlichkeiten und Meldewege im Krisenfall und ermöglichen die Steuerung und Überwachung.
Regelmäßige Tests und Notfallübungen sind dann zu planen und durchzuführen, um die eigenen Pläne und Konzepte auf ihre Wirksamkeit zu überprüfen und ggf. erkannte Schwachstellen und Defizite zu erkennen. Die Erkenntnisse der Übungen werden anschließend zur Optimierung in die Notfallpläne integriert.

Mögliche Szenarien für den Business-Continuity-Krisenfall

Ein BCM Notfall kann durch unterschiedliche Ereignisse ausgelöst oder auch eine Verkettung mehrerer zuerst voneinander unabhängige Vorkommnisse ausgelöst werden. Solche Störungen oder Notfälle lassen sich in verschiedene Kategorien aufgliedern.

  • Ausfall von Hardware oder von Software
  • Ausfall von IT-Prozessen oder Störungen/Ausfall des Netzwerks
  • Stromausfall oder sogar Ausfall eines oder mehrerer Standorte
  • Hackerangriff oder Malwareinfektion
  • Naturkatastrophen
  • usw.

Je nach Ereignis sind sinnvolle Maßnahmen für die Business Continuity erforderlich. Technische Ereignisse wie der Ausfall von Hardware, Netzwerken oder des Stroms lassen sich beispielsweise durch redundante Anlagen und Systeme abfangen.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In einem vorgehenden Beitrag habe ich einen kurzen Überblick über die beiden Ebenen der Wirksamkeitsmessung im Informationssicherheits-Managementsystem (ISMS) gegeben: Wirksamkeit des Managementsystems und Wirksamkeit der Maßnahmen der Informationssicherheit. Dieser Artikel vertieft den Aspekt der Wirksamkeit des Managementsystems.

Wirksamkeit des Managementsystems

Jedes bedeutende Rahmenwerk zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk, beschreibt ein Managementsystem. Sollen die gesteckten Ziele erreicht werden, muss das Managementsystem als System funktionieren. Dieses Funktionieren muss also sichergestellt und daher überprüft werden. Am Beispiel der ISO 27001:2013 möchte ich dies illustrieren.

Die ISO 27001:2013 nennt in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Den Punkten “Interne Audits” und “Managementbewertung” werden wir uns in einem späteren Artikel widmen. Hier soll es um den ersten Punkt “Überwachung, Messung, Analyse und Bewertung” gehen.

Die ISO 27001:2013 fordert: “Die Organisation muss … die Wirksamkeit des Informationssicherheits-Managementsystems bewerten.” Dazu muss überwacht und gemessen werden. An zwei Beispielen für zu überwachende und zu messende Teile des ISMS soll das dargestellt werden:

  1. Ressourcenverbrauch
  2. Reviews von Richtlinien

Ressourcenverbrauch

Gemessen werden kann in regelmäßigen Abständen, z.B. monatlich, der Verbrauch bestimmter Ressourcen wie beispielsweise Arbeitszeit oder Budget für externe Beratung. In der Analyse können diese gemessenen Werte ins Verhältnis zu den jeweiligen Plandaten gesetzt und dann entsprechend bewertet werden. Ist zur Jahresmitte beispielsweise erst ein Viertel der für das Jahr geplanten Arbeitszeit verschrieben, kann dies ein Indiz sein, dass zu wenig im und am ISMS gearbeitet wird. Eine solche Bewertung versetzt das Unternehmen dann in die Lage, rechtzeitig gegenzusteuern. Ein im Verhältnis zur abgelaufen Zeit zu hoher Arbeitszeiteinsatz kann ein Indiz für unzureichend eingeplante Ressourcen sein. Diese Information kann für den nächsten Planungszeitraum nützlich sein.

Die Bewertung muss dabei immer vor dem vorhandenen Hintergrundwissen “mit Verstand” erfolgen. Möglicherweise ist ja wegen eines größeren Projektes im zweiten Halbjahr kein gleichmäßiger Ressourcenverbrauch zu erwarten. Entscheidend bleibt daher immer die Bewertung der von Messung und Analyse durch den Menschen.

Reviews von Richtlinien

Viele Organisationen führen die notwendigen Reviews ihrer Richtlinien und sonstigen Dokumente über das Jahr verteilt durch. Zweck ist dabei eine kontinuierliche Beschäftigung mit den Dokumenten sowie die Vermeidung von “Review-Wochen”. Auch in diesem Fall liefert die Messung überfälliger Dokumente einen Hinweis auf bestehende Probleme und gibt so die Möglichkeit, rechtzeitig nachzusteuern. Die Ursachenanalyse könnte beispielsweise auf einen Ressourcenmangel hinweisen. Vielleicht haben die Verantwortlichen für das Review diese einfach vergessen. Der Einsatz eines Werkzeugs zur Erinnerung könnte hier hilfreich sein und das Funktionieren des ISMS an dieser Stelle unterstützen. Möglicherweise liegt es auch nur an mangelnder Motivation für eine ungeliebte Aufgabe ;-).

In einem späteren Artikel werde ich mich näher mit ausgesuchten Maßnahmen zur Informationssicherheit und der Möglichkeit ihrer Überwachung und Überprüfung beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Im vorherigen Blogartikel “AWARENESS – MASSNAHME ODER KONZEPT?” hatten wir bereits angerissen, warum neben der Betrachtung von technischen Aspekten auch das Einbinden der Mitarbeiter zwingend notwendig ist, um ein hohes Maß an Informationssicherheit zu erreichen. Dieser Ansatz, den Menschen in den Mittelpunkt der Betrachtung zu stellen, spiegelt sich in der Fragestellung „Maßnahme oder Konzept?“ wider. Es sollte das Ziel von Awarenesskonzepten sein, die Befähigung der Mitarbeiter zu sicherem Handeln zu entwickeln und zu fördern.

Dabei sind drei Aspekte gleichermaßen bedeutsam: Wissen, Wollen und Können. „Wissen“ meint hier das reine fachliche Wissen des Einzelnen, z.B. wie ein Programm bedient wird oder welche Regelungen und Vorgaben es für Besucher oder für das Arbeiten im Homeoffice gibt. „Wollen“ adressiert die innere Bereitschaft, dieses Wissen auch anwenden zu wollen, die Vorschriften zu beachten, weil sie sinnvoll, einleuchtend und notwendig sind und einem akzeptierten Zweck dienen. „Können“ hinterfragt schließlich die objektiven, alltäglichen Situationen – ob es den Mitarbeitern möglich ist, das „Wissen“ auch wirklich anwenden, ob der Alltag es bei allem „Wollen“ eben auch zulässt, passend zu handeln. Probleme wie eine schlechte Softwareergonomie, Stresssituationen durch Überlastung oder andere Ausnahmesituationen oder aber der Rückfall in alte Gewohnheiten können das „Wollen“, trotz allem „Wissens“, stark behindern.

Der Aspekt „Wissen“ wird in den meisten Awarenessmaßnahmen zuvorderst bearbeitet. Das Beispiel eLearning aus dem vorherigen Artikel ist hier nur eine von vielen Möglichkeiten, zeigt aber genaugenommen lediglich die Methode der Darbietung, nicht zwingend einen bestimmten Inhalt. So könnte ein eLearning genauso gut Informationen über Unternehmensvorgaben zur Informationssicherheit oder eine Schulung zu einem Tool enthalten. (Falls sich ein Leser darüber wundert – die Fehlbedienung von Software kann durchaus zu Informationssicherheitsvorfällen führen. Man denke nur an die Klassiker „E-Mail weiterleiten an Alle“, oder an „Natürlich will ich alles löschen“ … )

Neben den allgegenwärtigen Powerpoint-Präsentationen und dem angesprochenen eLearning gibt es viele weitere Methoden zur Vermittlung von „Wissen“. Checklisten (z.B. zum Verhalten auf Dienstreisen, zum Arbeiten im Homeoffice oder beim Verlust von Geräten) unterstützen die Mitarbeiter in ungewohnten Situationen, und in Mitarbeitergesprächen könnte an die Verpflichtungen aus dem Arbeitsvertrag erinnert werden.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Durch einen Fernsehbericht über einen Freizeitpark bin ich ins Grübeln gekommen… Was passiert eigentlich, wenn im Zoo das Licht ausgeht, natürlich nicht am Abend, sondern weil der Strom ausfällt…?

Auch in einem Zoo gibt es große Abhängigkeiten zu IT-gesteuerter Infrastruktur, das fängt bei den Käfigklappen an die z.B. über Tastschalter bedient werden und hört beim Bergungsplan für den Besucheraufzug bei den Giraffen auf, dazwischen liegen jede Menge Prozesse und Infrastruktur.

Welcher Zoo-Betreiber möchte schon riskieren, dass sich Elefanten aus ihrem Gehege befreien, weil der Stromzaun ausgefallen ist und panisch zwischen den Besuchern umherrennen? Oder dass im Zuchtprogramm der Nachwuchs einer seltenen Tierart an Unterkühlung eingeht?

Fans von Dinosaurier-Filmen erinnern sich sicher an den Blockbuster Jurassic-Park und was dort passiert, nachdem alle Sicherheitssysteme durch einen eingeschleusten Virus ausgeschaltet wurden.

Also auch wenn der eigentliche Geschäftszweck wenig mit IT zu tun hat, sollte man diese immer im Auge behalten. Die Vorsorge für die unterschiedlichsten Notfall-Szenarien ist  in erster Linie Eigeninteresse. Der Schutz von Leib und Leben, wertvoller Geschäftsausstattung, den eigenen Produkten und Erfindungen und natürlich die Aufrechterhaltung bzw. schnelle Wiederherstellung des Geschäftsbetriebs sind für das Überleben eines Unternehmens essentiell.

Ein Workshop zum Thema Notfall-Vorsorge und Krisenmanagement zeigt auf wo Schwachstellen liegen und wie Sie diese absichern können. Informationen über Notfallübungen, Weiterentwicklung des BCM und Zertifizierungsmöglichkeiten geben einen umfangreichen Einblick in das Thema Business Continuity Management.

Was Sie auch interessieren könnte:

Seminar:

“Business Continuity Management (BCM) nach ISO 22301”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Informationssicherheit und Datenschutz lassen sich aus dem heutigen Geschäftsalltag nicht mehr wegdenken. Gesetzliche Anforderungen, Bedrohungsszenarien von außen, aber auch das eigene Bewusstsein, mit Daten und Informationen schützend umzugehen erhöhen die Notwendigkeit sich mit den Themen nachweisbar zu beschäftigen.

Die ISO 27701 gibt eine Hilfestellung, den Datenschutz in ein bestehendes Informationssicherheits-Managementsystem zu integrieren.

In unserem Podcast zur ISO 27701 befassen wir uns damit, wie die ISO 27701 aufgebaut ist, wie sie im Rahmen der ganzen ISO 2700er Reihe einzuordnen ist und was bei der Umsetzung beachtet werden muss.

In unserer Folge “ ISO 27701 – den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ gehen wir auf folgende Aspekte ein:

  • Was ist die ISO 27701 und wie ist sie einzuordnen?
  • Synergien aus einem bereits zertifizierten Managementsystem nutzen
  • Wofür der Aufwand? Nutzen einer Einführung der ISO 27701

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Im ersten Teil dieser Artikel-Serie haben wir uns mit dem risikobasierten Ansatz beschäftigt, der der Informationssicherheit und dem Datenschutz gemein ist. In diesem Artikel soll es um die Referenzmaßnahmenziele und -Maßnahmen zu den Pflichten des Verantwortlichen gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -Maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen. Der Anhang B, dem ich mich in einem späteren Blog-Artikel widmen werde, spezifiziert Controls für Auftragsverarbeiter.

Die Nummerierung der Controls funktioniert analog zur ISO 27001. Das bedeutet, dass sich die Nummerierung auf die entsprechenden Norm-Kapitel der ISO 27701 bezieht. In der ISO 27701 sind die Normkapitel 7 und 8 ähnlich aufgebaut wie die Kapitel der ISO 27002:2013. Es gibt Zielsetzungen, Maßnahmen und Leitlinien zur Umsetzung. Die Anhänge A.7 und A.8 beziehen sich dann auf die entsprechenden Abschnitte der Kapitel 7 und 8.

Pflichten des Verantwortlichen

Die Tabelle im Anhang A der ISO 27701 gliedert sich in vier Abschnitte – A.7.2 bis A.7.5. Alle Controls müssen vor dem Hintergrund der anwendbaren Datenschutzgesetzgebung betrachtet werden. Ähnlich wie in der ISO 27001 wird nicht vorgeschrieben, wie etwas umzusetzen ist, sondern vielmehr, um welche Themenbereiche man sich zu kümmern hat. Dabei dürfen die Controls im Datenschutz nicht ausschließlich nach eigenen Vorstellungen umgesetzt werden, sondern so, dass die für die eigene Organisation zutreffenden gesetzlichen Bestimmungen erfüllt werden. Die Umsetzungshinweise in Kapitel 7 sind dabei oftmals notwendige, aber keine hinreichenden Bedingungen.

Pflichten des Verantwortlichen zu Bedingungen für die Erhebung und Verarbeitung

A.7.2 beschreibt 8 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier werden datenschutzrechtliche Grundsätze wie die Zweckbindung und Rechtmäßigkeit der Verarbeitung adressiert. Darüber hinaus beschäftigt sich der Abschnitt mit Verfahren zur Einholung von Einwilligungen, zur Datenschutzfolgeabschätzung, zu Verträgen mit Auftragsverarbeitern und gemeinsame Verantwortlichkeiten (Joint Controllership). Zum Schluss werden Aufzeichnungen und Nachweise thematisiert.

Verpflichtungen gegenüber betroffenen Personen

A.7.3 beschreibt 10 Controls: Von der Bestimmung der eigenen Pflichten gegenüber Betroffenen bis zum Definieren und Umsetzen entsprechender Prozesse sind hier alle entscheidenden Pflichten des Verantwortlichen gegenüber Betroffenen adressiert.

Verantwortlichen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

A.7.4 beschreibt 9 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Dieser Abschnitt beschäftigt sich mit den Themen Privacy by Default und Privacy by Design.

Pflichten des Verantwortlichen zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

A.7.5 beschreibt 4 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dabei wird insbesondere der Bereich der Übermittlung in Drittstaaten adressiert.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Ziel aller Unternehmen ist es die Produktivität, die Wettbewerbsfähigkeit und damit den Fortbestand des Unternehmens zu sichern. Damit die Geschäftstätigkeit auch im Angesicht von Notfällen und Krisen bestmöglich aufrecht erhalten bleibt, ist die Einführung eines Business Continuity Management Systems – kurz BCM sinnvoll.

In unserem Podcast zum Thema BCM befassen wir uns in 2 Folgen damit, wie ein BCM aufgebaut werden sollte, was es alles zu beachten gilt und geben auch kleine Tipps und Denkanstöße, um bestmöglich auf Störungen vorbereitet zu sein.

In der Folge 1 „die ersten Schritte“ geben wir einen groben Überblick über alles was beim BCM bedacht werden muss.

Dabei gehen wir auf folgende Aspekte ein:

  • Was bedeutet BCM und welche Vorgaben gibt es?
  • Wie fängt man an ein BCM aufzubauen?
  • Die Business Impact Analyse als Teil des BCM
  • Dokumentieren aller Informationen – in welcher Form?
  • Regelmäßiges Überprüfen und Verbessern ist Pflicht

In der Folge 2 „jetzt aber richtig“ steigen wir tiefer in das Thema BCM ein – wo liegen Stolperfallen, wie sinnvoll sind Übungen und welche Aufgaben und Verantwortlichkeiten hat das BCM Team.

Hier beleuchten wir folgende Aspekte:

  • Wie definiert man Störungen, die für das Unternehmen zutreffen können?
  • Was muss bei Dienstleistern und Lieferanten beachtet werden?
  • Üben und Verbessern – wie geht man am sinnvollsten vor?
  • Wie entwickelt sich das BCM weiter?
  • Ein BCM unterstützt bei allen Prozessen, nicht nur im Fall der Fälle

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Auditoren achten sehr darauf, dass die Mitarbeiter ausreichend geschult und informiert werden, wenn Sie ein Managementsystem auditieren. Denn erst wenn jeder Mitarbeiter weiß, wie er wann zu reagieren hat und wie er Gefahren erkennt, kann er auch korrekt handeln.

Das eLearning bietet hier eine zeitlich flexible, ortsungebundene und meist auch günstige Lösung die Mitarbeiter zu erreichen. Dabei wird auf das individuelle Lernverhalten und die jeweilige Arbeitssituation des Mitarbeiters eingegangen, um einen optimalen Lernerfolg zu erzielen.

In dieser Podcast-Folge zum Thema „eLearning“ möchten wir Ihnen die Vor- und Nachteile, die ein solches eLearning hat, aufzeigen und Ihnen ein paar Hinweise an die Hand geben, worauf Sie beim Einsatz achten sollten.

In unserer Folge “eLearning“ gehen wir auf folgende Aspekte ein:

  • Was fällt alles unter den Begriff eLearning
  • Welche Vorteile bietet es sowohl für das Unternehmen als auch den Mitarbeiter
  • Wie können etwaige Nachteile abgeschwächt werden
  • Welche rechtlichen Aspekte gibt es zu beachten

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Auf unserer Webseite unter https://anmatho.de/seminare/elearning/ finden Sie die wichtigsten Informationen zu unserem eLearning-Portal. Informieren Sie sich jetzt und kontaktieren Sie uns unter Tel.: 040 229 47 19 0 oder per E-Mail unter seminare@anmatho.de.

Erreicht unser Informationssicherheits-Managementsystems (ISMS) seine Ziele? Wirken alle zur Informationssicherheit umgesetzten Maßnahmen wie gedacht? Kurz: Funktioniert das ISMS oder erzeugt es nur das wohlige Gefühl, sich um das Thema Informationssicherheit schon irgendwie gut zu kümmern? Ohne Überwachung und Überprüfung der Wirksamkeit des Managementsystems selbst sowie der zur Informationssicherheit umgesetzten Maßnahmen bleiben nur Gefühl und Hoffnung. Eine angemessene Wirksamkeitsmessung ist daher in jedem relevanten ISMS-Framework vorgesehen.

Einen ersten Überblick zum Thema hat meine Kollegin Alice Laudien in ihrem Artikel Wirksamkeitsmessung im ISMS – ist ein Stein nur ein Stein?  zu unserem Seminar “Wirksamkeitsmessung nach ISO 27004” gegeben.

Dieser Artikel soll den Blick für die beiden Ebenen der Überwachung und Bewertung schärfen: ISMS und Maßnahmen der Informationssicherheit.

Wirksamkeit des ISMS

Gleichgültig ob man ein ISMS nach ISO 27001, BSI IT-Grundschutz oder einem anderen Regelwerk folgt: Ein ISMS besteht immer aus einem Satz zusammenhängender Elemente einer Organisation zum Festlegen von Politiken und Zielen sowie von Prozessen zum Erreichen dieser Ziele. Die Frage lautet also: Sind die Prozesse und ihre tatsächliche Umsetzung geeignet, die gesteckten Ziele zu erreichen?

Zu dieser Zielerreichung sieht beispielsweise ein ISMS nach ISO 27001 verschiedene Vorgehensweisen und Abläufe (Prozesse) vor, u.a. das Risikomangement, Setzen und Verfolgen von Informationssicherheitszielen, Kompetenzmanagement, Wirksamkeitsmessung, interne Audits, Managementbewertung. Diese Abläufe müssen überwacht werden. Am Beispiel der Informationssicherheitsziele bedeutet das:

  • Werden die Ziele regelmäßig (wie vorgesehen) überprüft, ggfs. verändert oder erneuert?
  • Werden Maßnahmen zum Erreichen der Ziele geplant?
  • Wird die Planung wie vorgesehen umgesetzt?
  • Wird die Zielerreichung anhand von Zielerreichungskriterien überprüft?

In einem späteren Artikel werde ich mich ausführlicher mit der Wirksamkeitsprüfung des Managementsystems nach ISO 27001 auseinandersetzen.

Wirksamkeit der Maßnahmen der Informationssicherheit

In einem ISMS nach ISO 27001 wird die Liste der umzusetzenden Maßnahmen aus drei Quellen gespeist:

  • anwendbare gesetzliche, regulatorische, vertragliche und selbst auferlegte Anforderungen
  • Risikomanagement
  • Informationssicherheitsziele

Diese drei Gruppen sind nicht disjunkt, d.h. sie überschneiden sich in der Praxis.

Geeignete Maßnahmen müssen ausgewählt werden, die Umsetzung geplant und verwirklicht werden. Zum Zeitpunkt der Auswahl der Maßnahmen ist man angemessen überzeugt, dass die Maßnahmen im Sinne der Zielerreichung wirksam sein werden, also z.B. ein Risiko hinreichend mindern, eine gesetzliche Anforderung tatsächlich umsetzen oder zur Erreichung eines Zieles zumindest beitragen.

Maßnahmen können im Ergebnis vollumfänglich erfolgreich, teilweise erfolgreich, in Hinblick auf das Ziel wirkungslos oder schlimmstenfalls kontraproduktiv sein. Wer nicht hinschaut, wird es nicht oder bestenfalls zufällig erfahren. Aus diesem Grund überwachen und überprüfen wir unsere Maßnahmen.

In einem späteren Artikel werde ich mich ausführlicher mit ausgesuchten Maßnahmen zur Informationssicherheit und der Möglichkeit ihrer Überwachung und Überprüfung beschäftigen.

Was Sie auch interessieren könnte:

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S WAS AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der Faktor „Mensch“ spielt eine wesentliche Rolle in der Informationssicherheit sowie im Datenschutz. Daher ist es enorm wichtig, allen Mitarbeitern die Risiken greifbar zu machen, das notwendige Wissen zu vermitteln und Akzeptanz und Verständnis für die Sicherheitsrichtlinien und Maßnahmen zu fördern. Dabei sollte die Individualität jedes Mitarbeiters und Aufgabengebietes berücksichtigt werden.

In unserem Podcast zum Thema „Das Konzept „Security Awareness“ möchten wir Ihnen in 2 Folgen Denkanstöße und Tipps zu diesem Thema geben.

In der Folge 1 „Aller Anfang ist nicht schwer“ befassen wir uns mit dem Start des Projektes „Security Awareness“:

  • welchen Stellenwert Security Awareness hat und haben sollte,
  • warum der konzeptionelle Gedanke ratsam ist,
  • was man bei einer Risikoanalyse beachten sollte,
  • wie wichtig konkrete Awareness-Ziele sind,
  • warum „one fits all“ bei Security Awareness nicht greift.

In der Folge 2 „Ein Ziel – viele Wege“ befassen wir uns mit der Wichtigkeit von zielgruppengerechten Awareness-Maßnahmen:

  • warum das Arbeitsumfeld für die Auswahl von Maßnahmen relevant ist,
  • welche Gefahr technische und organisatorische Hürden darstellen,
  • wie Verhaltensänderungen nachhaltig bewirkt werden können,
  • warum ein strukturierter Einsatz von verschiedenen Tools notwendig ist,
  • welche Tools es gibt und
  • wie man die Wirksamkeit seiner Kampagne überprüfen kann.

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.