Maßnahmen
Im vorherigen Kapitel haben wir beschrieben, dass es im ISMS auf die kontinuierliche Verbesserung ankommt. Verbesserungspotentiale sollten also in Maßnahmen überführt werden. Nutze dafür nach Möglichkeit bestehende Ticketsysteme oder Aufgabenplanungstools, um Verantwortlichkeiten und Zieldaten zu dokumentieren. Für das Reporting empfiehlt es sich, die Maßnahmen aus der Informationssicherheit mit Flags oder Tags auswertbar und selektierbar zu machen. Als Alternative zu einem Ticketsystem bieten auch die gängigen ISMS Lösungen am Markt die Funktion, um Maßnahmen zu erfassen und zu steuern.
Die ISO 27001 fordert zwar kein konkretes Mindestlevel in Bezug auf Informationssicherheit, dafür aber ganz deutlich, dass das Managementsystem und damit die Sicherheit im Unternehmen einem kontinuierlichen Verbesserungsprozess unterliegen muss. Das Identifizieren von Maßnahmen und das Festlegen von Verantwortlichkeiten und Zieldaten sind der Schlüssel um diese Verbesserung auch im Zertifizierungsaudit nachweisen zu können.
Mögliche Quellen für Maßnahmen
- Schlussfolgerungen aus KPIs
- Nachbereitung von Sicherheitsvorfällen
- Ergebnisse von (internen) Audits
- Prüfung durch die Leitung (Managementbewertung)
- Betriebliches Vorschlagswesen (Verbesserungsvorschlag)
- Risikomanagement
- Compliance Self-Assessment
- Gap-Analyse
- Findings aus Penetrationtests
- Einschlägige und vertrauensvolle Internetquellen
