Wirksamkeitsmessung im ISMS – Wirksamkeit nachweisen
In einem vorangehenden Beitrag habe ich einen kurzen Überblick über die Messung der Wirksamkeit eines Informationssicherheits-Managementsystems (ISMS) und seiner Maßnahmen gegeben. Dieser Artikel beschäftigt sich mit der Frage, wie Wirksamkeit nachgewiesen werden kann.
Voraussetzung für die Wirksamkeitsfeststellung
Was bedeutet Wirksamkeit? Die ISO 27000 definiert Wirksamkeit als “das Ausmaß, in dem geplante Aktivitäten umgesetzt und geplante Ergebnisse erreicht werden”. Es bedarf also zunächst geplanter, d.h. beabsichtigter Aktivitäten und beabsichtigter Ergebnisse. Ohne konkrete Vorstellung eines zu erreichenden Zustandes kann es also keine Wirksamkeitsmessung geben.
Vergleichen wir das mit der Realität in vielen Organisationen, so muss man feststellen, dass es einer validen Wirksamkeitsmessung bereits an den Voraussetzungen mangelt. Häufig werden Maßnahmen der Informationssicherheit umgesetzt, weil das so üblich ist. Auch wenn die Maßnahme zur Bearbeitung eines Risikos oder zur Erfüllung einer zutreffenden Anforderung ausgewählt wurde, fehlt oft eine (dokumentierte) Vorstellung, unter welchen Umständen man die Maßnahme als wirksam und erfolgreich bezeichnen möchte. Häufig geht man davon aus, dass die Maßnahme schon (vollumfänglich) erfolgreich sein wird. Mit der Umsetzung der Maßnahme gilt das Ziel dann als erreicht. Eine Wirksamkeitsmessung erübrigt sich unter dieser Annahme.
Die Festlegung von Kriterien der Wirksamkeit und des Erfolges von Maßnahmen ist also zwingend notwendig.
Feststellung der Wirksamkeit
Maßnahmen können vollumfänglich erfolgreich sein, teilweise erfolgreich, unwirksam oder, wenn es ganz schlecht läuft, sogar kontraproduktiv. Wer nicht nachschaut, wird nicht erfahren, wie es im konkreten Fall bei ihm ausschaut.
Überwachung und Messung
Für die Überprüfung der Wirksamkeit bieten sich Messungen an. Diese sind als Mittel der Bewertung der Leistung eines ISMS sowie der Informationssicherheitsleistung in Kapitel 9.1 der ISO 27001 verbindlich vorgesehen.
Die Definition und Pflege von Leistungskennzahlen sind ein probates Mittel. Leistungskennzahlen enthalten in ihrem Zielwert das beabsichtigte Ergebnis. Die Wirksamkeit einer oder mehrerer Maßnahmen oder eines Teilaspekts dieser Maßnahmen lässt sich an der Leistungskennzahl also direkt ablesen. Weitere Ausführungen hierzu finden sich in den Artikeln “Wirksamkeitsmessung im ISMS – Wirksamkeit des Managementsystems” und “Wirksamkeitsmessung im ISMS – Informationssicherheitsleistung”
Audits
Audits sind ein weiteres Mittel zur Überprüfung der Wirksamkeit. Typischerweise umfassen Audits drei Prüfebenen: Eignung, Angemessenheit und Wirksamkeit.
In der Praxis verbringen Auditoren leider zuviel Zeit mit Dokumentenprüfungen, d.h. mit Eignungsprüfung sowie mit der Umsetzung der anwendbaren Regelungen. Für die Prüfung der Wirksamkeit bleibt häufig zu wenig Zeit. Wenn die Reife eines ISMS zunimmt sollte sich der Schwerpunkt der Audits allerdings deutlich Richtung Wirksamkeit verschieben. Auditoren sollten dann intensiver und nachdrücklicher nach “geplanten Ergebnissen” fragen sowie sich mit der Frage der Zielerreichung beschäftigen.
Weitere Ausführungen zu Audits als Mittel der Wirksamkeitsprüfung finden Sie in dem Artikel “Wirksamkeitsmessung im ISMS – Interne Audits“.
Managementbewertung
Die Managementbewertung nach ISO 27001 ist eine Bewertung durch die oberste Leitung einer Organisation. Die Vorstände, Geschäftsführungen, Präsidenten, wie immer auch die Mitglieder der obersten Leitung in der konkreten Organisation heißen, sind für die Informationssicherheit verantwortlich. Meist delegieren sie diese Aufgabe an einen Beauftragten (Informationssicherheitsbeauftrager – ISB) mit dem Auftrag ein ISMS aufzubauen, zu verwirklichen, aufrechtzuerhalten und fortlaufend zu verbessern. In geplanten Abständen müssen sie überprüfen, ob diese Aufgabe in geeigneter, angemessener und wirksamer Weise ausgeführt wird. Eine solche Prüfung kann valide nur durchgeführt werden, wenn die oberste Leitung konkrete Vorstellungen von der Zielsetzung des ISMS hat. Damit ist auch die Managementbewertung eine Form bzw. ein Element der Wirksamkeitsmessung.
Weitere Ausführungen zu Audits als Mittel der Wirksamkeitsprüfung finden Sie in dem Artikel “Wirksamkeitsmessung im ISMS – Managementbewertung”
Was Sie noch interessieren könnte…
Seminar:
„Wirksamkeitsmessung nach ISO 27004“
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
Podcast:
In unserem Podcast “Wirksamkeitsmessung in der ISO 27001” informieren wir Sie in lockerer Art und Weise über folgende Aspekte:
- Was fordert die ISO 27001 und die ISO 27004?
- Wie findet man heraus, was gemessen werden sollte und mit welchen Methoden?
- Worauf achten Auditoren?
- Was sind beispielhafte Kenngrößen?
Hören Sie rein!

AdobeStock_800272519 | Ticha
Adobe Stock | #486847258 | GooMmnutt
Image Creator Bing (KI)
© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)
Adobe Stock | #219079221 | ipopba