Lektion 3

20 min

Organisation

Im Rahmen der „Organisation“ werden Ressourcen, Verantwortlichkeiten und die Strategie festgelegt, also der Rahmen des ISMS.

 

Sicherheitsziele und KPIs

Sicherheitsziele sind wichtig um die Richtung des ISMS zu bestimmen und für eine kontinuierliche Verbesserung zu sorgen. Die Sicherheitsziele sollten sich aus den Unternehmenszielen ableiten und mit der Geschäftsführung abgestimmt sein. Sicherheitsziele sind zudem möglichst „SMART„: spezifisch, messbar, akzeptiert, realistisch, terminiert.

Zur Messung der Wirksamkeit des ISMS ist es notwendig, Kennzahlen zu definieren und diese regelmäßig zu messen. So erhält man Aussagen über die reale Sicherheit der Organisation. Diese Kennzahlen werden auf Grundlage der Sicherheitsziele, gesetzlichen Vorgaben und der Schutzbedürfnisse definiert und werden auch Key-Performance-Indikatoren (KPI) genannt. Die Kennzahlen werden im Rahmen der Managementbewertung dargestellt und analysiert, um nach Bedarf über zusätzliche Maßnahmen eine Verbesserung zu erreichen.

Ableitung sinnvoller KPI

Unternehmensziel: Kundenzufriedenheit durch volle DSGVO Compliance

Sicherheitsziel: Etablierung eines ISMS zur Steigerung des Sicherheitsniveaus im Unternehmen

KPI: Durchschnitts-Reifegrad der 114 Controls der ISO27001 Norm entspricht >= 1

Beispiele für Informationssicherheitsziele

  • Sensibilisierung aller Beschäftigten in Bezug auf das Thema Informationssicherheit
  • Gewährleistung der Zutrittssicherheit zum Datacenter
  • Verfügbarkeit von 99,9 % der Datenanbindungen
  • Frühzeitiges Erkennen von Sicherheitsvorfällen
  • Stetige Steigerung des ISMS-Reifegrads
  • Erfüllung der Kundenforderungen an die Vertraulichkeit seiner Daten
  • Vollständige Dokumentation der Betriebsverfahren zur Sicherstellung der Verfügbarkeit
  • Zuverlässige Unterstützung der Geschäftsprozesse durch die Informationstechnologien
  • Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb der Organisation
  • Kontinuierliche Identifizierung, Bewertung und Behandlung von Risiken für die Informationssicherheit