Erreicht unser Informationssicherheits-Managementsystems (ISMS) seine Ziele? Wirken alle zur Informationssicherheit umgesetzten Maßnahmen wie gedacht? Kurz: Funktioniert das ISMS oder erzeugt es nur das wohlige Gefühl, sich um das Thema Informationssicherheit schon irgendwie gut zu kümmern? Ohne Überwachung und Überprüfung der Wirksamkeit des Managementsystems selbst sowie der zur Informationssicherheit umgesetzten Maßnahmen bleiben nur Gefühl und Hoffnung. Eine angemessene Wirksamkeitsmessung ist daher in jedem relevanten ISMS-Framework vorgesehen.
Einen ersten Überblick zum Thema hat meine Kollegin Alice Laudien in ihrem Artikel “Wirksamkeitsmessung im ISMS – ist ein Stein nur ein Stein?“ zu unserem Seminar “Wirksamkeitsmessung nach ISO 27004” gegeben.
Dieser Artikel soll den Blick für die beiden Ebenen der Überwachung und Bewertung schärfen: ISMS und Maßnahmen der Informationssicherheit.
Wirksamkeit des ISMS
Gleichgültig ob man ein ISMS nach ISO 27001, BSI IT-Grundschutz oder einem anderen Regelwerk folgt: Ein ISMS besteht immer aus einem Satz zusammenhängender Elemente einer Organisation zum Festlegen von Politiken und Zielen sowie von Prozessen zum Erreichen dieser Ziele. Die Frage lautet also: Sind die Prozesse und ihre tatsächliche Umsetzung geeignet, die gesteckten Ziele zu erreichen?
Zu dieser Zielerreichung sieht beispielsweise ein ISMS nach ISO 27001 verschiedene Vorgehensweisen und Abläufe (Prozesse) vor, u.a. das Risikomangement, Setzen und Verfolgen von Informationssicherheitszielen, Kompetenzmanagement, Wirksamkeitsmessung, interne Audits, Managementbewertung. Diese Abläufe müssen überwacht werden. Am Beispiel der Informationssicherheitsziele bedeutet das:
- Werden die Ziele regelmäßig (wie vorgesehen) überprüft, ggfs. verändert oder erneuert?
- Werden Maßnahmen zum Erreichen der Ziele geplant?
- Wird die Planung wie vorgesehen umgesetzt?
- Wird die Zielerreichung anhand von Zielerreichungskriterien überprüft?
In einem späteren Artikel werde ich mich ausführlicher mit der Wirksamkeitsprüfung des Managementsystems nach ISO 27001 auseinandersetzen.
Wirksamkeit der Maßnahmen der Informationssicherheit
In einem ISMS nach ISO 27001 wird die Liste der umzusetzenden Maßnahmen aus drei Quellen gespeist:
- anwendbare gesetzliche, regulatorische, vertragliche und selbst auferlegte Anforderungen
- Risikomanagement
- Informationssicherheitsziele
Diese drei Gruppen sind nicht disjunkt, d.h. sie überschneiden sich in der Praxis.
Geeignete Maßnahmen müssen ausgewählt werden, die Umsetzung geplant und verwirklicht werden. Zum Zeitpunkt der Auswahl der Maßnahmen ist man angemessen überzeugt, dass die Maßnahmen im Sinne der Zielerreichung wirksam sein werden, also z.B. ein Risiko hinreichend mindern, eine gesetzliche Anforderung tatsächlich umsetzen oder zur Erreichung eines Zieles zumindest beitragen.
Maßnahmen können im Ergebnis vollumfänglich erfolgreich, teilweise erfolgreich, in Hinblick auf das Ziel wirkungslos oder schlimmstenfalls kontraproduktiv sein. Wer nicht hinschaut, wird es nicht oder bestenfalls zufällig erfahren. Aus diesem Grund überwachen und überprüfen wir unsere Maßnahmen.
In einem späteren Artikel werde ich mich ausführlicher mit ausgesuchten Maßnahmen zur Informationssicherheit und der Möglichkeit ihrer Überwachung und Überprüfung beschäftigen.
Seminar „Wirksamkeitsmessung nach ISO 27004“
Unser Seminar „Wirksamkeitsmessung nach ISO 27004“ versetzt Sie in die Lage, sowohl Ihr ISMS als auch die Maßnahmen ihres ISMS angemessen zu überwachen, zu analysieren und zu bewerten.
Termine:
12. Mai 2022 | 09:00 – 17:00 Uhr | PRÄSENZ
15. September 2022 | 09:00 – 17:00 Uhr | PRÄSENZ
6. Dezember 2022 | 09:00 – 17:00 Uhr | ONLINE
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
[…] einem vorgehenden Beitrag habe ich einen kurzen Überblick über die beiden Ebenen der Wirksamkeitsmessung im Informationssicherheits-Managementsystem (ISMS) gegeben: Wirksamkeit des Managementsystems und Wirksamkeit der Maßnahmen der […]
[…] den vorgehenden Beiträgen habe ich einen kurzen Überblick über die beiden Ebenen der Wirksamkeitsmessung im Informationssicherheits-Managementsystem (ISMS) gegeben und mich mit der Messung der Wirksamkeit des ISMS beschäftigt. Dieser Artikel vertieft den […]