Schlagwortarchiv für: Managementbewertung

,

Wirksamkeitsmessung im ISMS – Managementbewertung

In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel erläutert die Funktion der “Managementbewertung” bei der Überprüfung der Wirksamkeit des ISMS.

Managementbewertung

Wie viele andere Aspekte eines ISMS findet man auch die Forderung nach einer Bewertung des ISMS durch die oberste Leitung einer Organisation in allen bedeutenden Rahmenwerken zur Informationssicherheit, gleich ob ISO 27001, BSI IT-Grundschutz oder ein anderes Regelwerk. Die Bewertung durch die eigene Leitung ist immer ein wichtiger Bestandteil.

Die ISO 27001:2022 nennt, ebenso wie die Vorgängerversion ISO 27001:2013, in Kapitel 9 drei verpflichtende Handlungsfelder zur Bewertung der Leistung:

  1. Überwachung, Messung, Analyse und Bewertung
  2. Interne Audits
  3. Managementbewertung

Dem Punkt “Überwachung, Messung, Analyse und Bewertung” sowie “Interne Audits” habe ich mich in vergangenen Artikeln bereits gewidmet. Hier soll es jetzt um den letzten Punkt die Managementbewertung gehen.

Die ISO 27001:2022 fordert: “Die oberste Leitung muss das Informationssicherheitsmanagementsystem der Organisation in geplanten Abständen bewerten …”  Zweck ist es, die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS sicherzustellen.

In der Regel hat die Geschäftsführung einen Mitarbeiter mit dem Aufbau und dem Betrieb des ISMS beauftragt, den Informationssicherheitsbeauftragten (IS-Beauftragter). Die konkrete Benennung kann hiervon abweichen, darauf kommt es hier nicht an. Wesentlich ist, dass die Geschäftsführung eine Aufgabe, die eigentlich die ihre ist, an einen Mitarbeiter übertragen hat. Sie muss sich daher in angemessener Weise davon überzeugen, dass diese Aufgabe von ihrem Beauftragten angemessen und wirksam wahrgenommen wird. in der ISO 27001 (Kapitel 9.3) dient die dort sogenannte  Managementbewertung (engl. Management Review) dazu, die Eignung, Angemessenheit und Wirksamkeit des ISMS festzustellen.

Da es sich um eine eigenständige Leistung der Geschäftsführung handelt, könnte diese theoretisch die Bewertung alleine durchführen. In der Praxis besteht die Managementbewertung fast immer aus einem Vortrag des IS-Beauftragten, gefolgt von einer wertenden Reaktion der Geschäftsführung. Die Wertung ist dabei der eigentlich wichtige Teil  der Veranstaltung. Kenntnisnahme ist keine Wertung und genügt nicht.

Häufigkeit der Managementbewertung

Die ISO 27001:2022 schreibt “in geplanten Abständen” vor. Dies wird nun üblicherweise mit mindestens einmal jährlich interpretiert und in die Praxis in einmal im Kalenderjahr übersetzt. Die Frage, ob das gewählte Intervall angemessen und zielführend ist, wird dabei häufig nicht gestellt. Das ist schade.

In sehr großen Unternehmen, die eine ausgewachsene Informationssicherheitsorganisation betreiben, ist dies einmal jährlich oft ausreichend. In mittelständischen Unternehmen, in den die oberste Leitung  auch sonst noch häufiger operative Entscheidungen trifft, sollten die Abstände verkürzt werden. Man kann sich dabei gerne an anderen Bereichen des Unternehmens orientieren. Wie oft tragen beispielsweise der Vertrieb, das Marketing, das Personalwesen oder der Datenschutz bei der Geschäftsführung vor und holen sich deren Entscheidungen ab? Die Managementbewertung nach ISO 27001 beansprucht dabei kein eigenes Meeting. Sie kann gerne als ein Tagesordnungspunkt in einer ohnehin stattfinden Runde stattfinden. Wichtig ist, das inhaltlich alle im Kapitel 9.3 aufgeführten Punkte auch behandelt werden.

Ergebnisse der Managementbewertung

Die Geschäftsführung muss im Ergebnis die fortdauernde Eignung, Angemessenheit und Wirksamkeit des ISMS feststellen oder entsprechende Maßnahmen einleiten, um diese herzustellen.

Weiterhin bedarf es Entscheidungen zu Möglichkeiten der Verbesserung des ISMS. Dies können z.B. Entscheidungen zur Einführung bestimmter Systeme, zur Ressourcenanpassung oder zur Zuweisung von Befugnissen sein.

Die Ergebnisse der Managementbewertung müssen dokumentiert werde.

 

Damit findet diese kleine Serie von Artikeln zu den Forderungen des Kapitel 9 der ISO 27001 seinen Abschluss. Zukünftige Artikel werden konkrete Möglichkeiten der Umsetzung skizzieren.

Was Sie noch interessieren könnte…

Seminar:

„Wirksamkeitsmessung nach ISO 27004“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:

  • Was fordert die ISO 27001 und die ISO 27004?
  • Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
  • Worauf achten Auditoren?
  • Was sind beispielhafte Kenngrößen?

Hören Sie rein!

/von
,

Informationssicherheit nach ISO 27001 für Vorstände und Geschäftsführer (Teil 3)

Kommunikation und Berichtswege im ISMS

In den ersten beiden Teilen dieser Artikelserie haben wir uns mit den Aufgaben von Geschäftsführern und Vorständen in einem Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 bezüglich des Zusammensetzen eines Projektteams für die Einführung des ISMS sowie mit den Rollen und der Aufbauorganisation für den Betrieb des ISMS beschäftigt. In diesem Beitrag soll es um die Berichtswege hin zur obersten Leitung eines Unternehmens gehen.

Zuweisung von Verantwortung und Befugnissen zum Berichten

Es ist die Aufgabe der obersten Leitung, also von Geschäftsführern und Vorständen, die Verantwortlichkeit und die Befugnisse für das Berichten über die Leistung des Informationssicherheits-Managementsystems an die oberste Leitung, also an sich selbst, zuzuweisen. Mit anderen Worten, wenn die oberste Leitung nichts aus dem ISMS hört, hat sie selbst etwas falsch gemacht. Lassen wir den Fall, dass genau dies beabsichtigt ist, einmal außen vor…

Die Geschäftsführer und Vorstände sollten also zumindest einer Person, meist dem CISO oder Informationssicherheitsbeauftragten, die Pflicht zur Berichterstattung auferlegen. Verbunden mit einem jederzeitigen und unmittelbaren Vortragsrecht sorgt dies dafür, dass die oberste Leitung auch in außergewöhnlichen Situationen, wie akuten Informationssicherheitsvorfällen jederzeit informiert ist. Aber auch andere Themen, die sonst in der Hierarchie und Bürokratie einer Organisation zu versickern drohen, kommen so “ganz oben” an. Kluge Informationssicherheitsbeauftragte werden von diesem Recht nur sehr dosiert Gebrauch machen, so dass die Befürchtung einer Überbeanspruchung der Führung in der Praxis meist unbegründet ist.

Kennzahlen

Kennzahlen bieten ein wichtiges Steuerungsinstrument. Die ISO 27001:2022 fordert dieses Instrument in Kapitel 9.1, der BSI-Standard 200-1 in Kapitel 4.1 “Aufgaben und Pflichten des Managements”. Sich wichtige Kennzahlen regelmäßig berichten zu lassen, ermöglicht es der Führung im Bilde zu bleiben und steuernd eingreifen zu können. Dabei sollten zwei Ebenen abgedeckt werden:

  1. Wirksamkeit des Informationssicherheits-Managementsystems
    Funktioniert mein Managementsystem? Werden alle notwendigen Aktivitäten durchgeführt, wie z.B. Kennzahlenerfassung, Rollenbesetzungen, Risikobewertungen?
  2. Informationssicherheitsleistung
    Was kommt für die Informationssicherheit hinten raus, z.B. wie häufig auf Links in Phishing-E-Mails geklickt wurde oder wie häufig unbegleitete “Fremde” auf dem Betriebsgelände angetroffen wurden?

Auditberichte

Die eigene Organisation sollte regelmäßig in Hinblick auf Informationssicherheit auditiert werden. Die resultierenden Auditberichte zeigen Nichtkonformitäten und Verbesserungspotentiale auf. Eine wichtige Informationsquelle für die Organisationsleitung.

Managementbewertung

In der Managementbewertung bewertet die Geschäftsführung bzw. der Vorstand ihr bzw. sein ISMS. Diese Sichtweise ist wichtig. Wenn es keine spezifischen Anforderungen gibt, so gehört es mindestens zu den allgemeinen Sorgfaltspflichten der Organisationsleitung für ein angemessenes Niveau der Informationssicherheit zu sorgen. Dieser Pflicht kommt sie nach, indem sie ein ISMS einrichtet bzw. einrichten lässt. In der Folge muss sie sich vergewissern, dass dieses System funktioniert und es daher bewerten.

In der Praxis sieht es meist so aus, dass der Informationssicherheitsbeauftragte (ISB) der obersten Leitung berichtet. Gegenstand des Berichts sind u.a. der Status von Maßnahmen als Folge vorheriger Managementbewertungen, Veränderungen bei verschiedenen das ISMS betreffenden Themen, Nichtkonformitäten und zugehörige Ursachenanalysen sowie Korrekturmaßnahmen, wichtige Kennzahlen, Auditergebnisse, Stand bei der Erreichung von Informationssicherheitszielen, Ergebnisse der Risikobeurteilung,  Umsetzungsgrad beschlossener Maßnahmen sowie allgemeine Möglichkeiten zur fortlaufenden Verbesserung. Auf all diese Dinge muss die Führung wertend reagieren. Notwendige Entscheidungen müssen von der obersten Leitung getroffen werden. Die Managementbewertung ist also nichts, was die oberste Leitung einfach konsumieren darf. Vielmehr ist es andersherum. Der Bericht des ISB liefert nur die Informationen, die als Grundlage für die Bewertung und Anpassung des ISMS durch die Geschäftsführung bzw. Vorstand dienen.

Damit wären die wesentlichen Teile der Kommunikation und Berichtswege an die oberste Leitung im ISMS beschrieben. Wie immer kommt es auch hier darauf an, dies möglichst gut in die Prozesse des Unternehmens zu integrieren. Integration in die Prozesse soll dann auch das Thema des nächsten Artikels dieser Serie werden.

Was Sie noch interessieren könnte…

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen