Wirksamkeitsmessung im ISMS – Überblick
Erreicht unser Informationssicherheits-Managementsystems (ISMS) seine Ziele? Wirken alle zur Informationssicherheit umgesetzten Maßnahmen wie gedacht? Kurz: Funktioniert das ISMS oder erzeugt es nur das wohlige Gefühl, sich um das Thema Informationssicherheit schon irgendwie gut zu kümmern? Ohne Überwachung und Überprüfung der Wirksamkeit des Managementsystems selbst sowie der zur Informationssicherheit umgesetzten Maßnahmen bleiben nur Gefühl und Hoffnung. Eine angemessene Wirksamkeitsmessung ist daher in jedem relevanten ISMS-Framework vorgesehen.
Einen ersten Überblick zum Thema hat meine Kollegin Alice Laudien in ihrem Artikel “Wirksamkeitsmessung im ISMS – ist ein Stein nur ein Stein?“ zu unserem Seminar “Wirksamkeitsmessung nach ISO 27004” gegeben.
Dieser Artikel soll den Blick für die beiden Ebenen der Überwachung und Bewertung schärfen: ISMS und Maßnahmen der Informationssicherheit.
Wirksamkeit des ISMS
Gleichgültig ob man ein ISMS nach ISO 27001, BSI IT-Grundschutz oder einem anderen Regelwerk folgt: Ein ISMS besteht immer aus einem Satz zusammenhängender Elemente einer Organisation zum Festlegen von Politiken und Zielen sowie von Prozessen zum Erreichen dieser Ziele. Die Frage lautet also: Sind die Prozesse und ihre tatsächliche Umsetzung geeignet, die gesteckten Ziele zu erreichen?
Zu dieser Zielerreichung sieht beispielsweise ein ISMS nach ISO 27001 verschiedene Vorgehensweisen und Abläufe (Prozesse) vor, u.a. das Risikomangement, Setzen und Verfolgen von Informationssicherheitszielen, Kompetenzmanagement, Wirksamkeitsmessung, interne Audits, Managementbewertung. Diese Abläufe müssen überwacht werden. Am Beispiel der Informationssicherheitsziele bedeutet das:
- Werden die Ziele regelmäßig (wie vorgesehen) überprüft, ggfs. verändert oder erneuert?
- Werden Maßnahmen zum Erreichen der Ziele geplant?
- Wird die Planung wie vorgesehen umgesetzt?
- Wird die Zielerreichung anhand von Zielerreichungskriterien überprüft?
In einem späteren Artikel werde ich mich ausführlicher mit der Wirksamkeitsprüfung des Managementsystems nach ISO 27001 auseinandersetzen.
Wirksamkeit der Maßnahmen der Informationssicherheit
In einem ISMS nach ISO 27001 wird die Liste der umzusetzenden Maßnahmen aus drei Quellen gespeist:
- anwendbare gesetzliche, regulatorische, vertragliche und selbst auferlegte Anforderungen
- Risikomanagement
- Informationssicherheitsziele
Diese drei Gruppen sind nicht disjunkt, d.h. sie überschneiden sich in der Praxis.
Geeignete Maßnahmen müssen ausgewählt werden, die Umsetzung geplant und verwirklicht werden. Zum Zeitpunkt der Auswahl der Maßnahmen ist man angemessen überzeugt, dass die Maßnahmen im Sinne der Zielerreichung wirksam sein werden, also z.B. ein Risiko hinreichend mindern, eine gesetzliche Anforderung tatsächlich umsetzen oder zur Erreichung eines Zieles zumindest beitragen.
Maßnahmen können im Ergebnis vollumfänglich erfolgreich, teilweise erfolgreich, in Hinblick auf das Ziel wirkungslos oder schlimmstenfalls kontraproduktiv sein. Wer nicht hinschaut, wird es nicht oder bestenfalls zufällig erfahren. Aus diesem Grund überwachen und überprüfen wir unsere Maßnahmen.
In einem späteren Artikel werde ich mich ausführlicher mit ausgesuchten Maßnahmen zur Informationssicherheit und der Möglichkeit ihrer Überwachung und Überprüfung beschäftigen.
Was Sie auch interessieren könnte:
Seminar:
„Wirksamkeitsmessung nach ISO 27004“
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
Podcast:
Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.
Hören Sie rein!