ISO 27001 Anforderung 6.2 – Informationssicherheitsziele und Planung zu deren Erreichung

Was beinhaltet Abschnitt 6.2?

Bei der Bewältigung dieser Anforderung ist es wichtig, dass Sie die Organisation und ihren Kontext bereits verstanden haben (4.1), die Anforderungen der interessierten Parteien ermittelt haben (4.2), Ihren Anwendungsbereich festgelegt haben (4.3) und zumindest mit der Durchführung Ihrer Risikobewertung und -behandlung begonnen haben (6.1). .

Die genaue Anforderung für 6.2 ist:

„Legen Sie anwendbare (und, wenn möglich, messbare) Informationssicherheitsziele fest und berücksichtigen Sie dabei die Anforderungen an die Informationssicherheit sowie die Ergebnisse der Risikobewertung und -behandlung. Bestimmen Sie, was getan werden soll, welche Ressourcen benötigt werden, wer dafür verantwortlich ist, wann sie abgeschlossen sein werden und wie die Ergebnisse ausgewertet werden.“

Dieser Abschnitt 6.2 der Norm läuft also im Wesentlichen auf die Frage hinaus; „Woher wissen Sie, ob Ihr Informationssicherheitsmanagementsystem wie vorgesehen funktioniert?“

So legen Sie Ziele für 6.2 fest

Stellen Sie bei der Betrachtung der Ziele, die Sie von Ihrem Informationssicherheitsmanagementsystem erwarten, sicher, dass diese geschäftsorientiert sind und Dinge sind, die Ihnen helfen, eine (sicherere) und leistungsfähigere Organisation zu führen, und nicht nur Kästchen ankreuzen und auf einer Seite gut aussehen. Überlegen Sie, was die Interessenten auch gemessen und überwacht sehen möchten.

Warum kaufen Kunden beispielsweise bei Ihnen und welche Befürchtungen würden sie aus Sicht der Informationssicherheit befürchten? Welches Maß an Informationssicherheit, welche Maßnahmen und Überwachung wären für sie wichtig, wenn sie sich Ihr ISMS genau anschauen würden?

Konzentrieren Sie sich auf die Entwicklung sinnvoller Ziele und nicht nur auf viele Maßnahmen oder Vorgaben, die dazu führen, dass Sie Ihre ganze Zeit mit der Verwaltung verbringen und keinen Mehrwert für die Organisation schaffen.

Möglicherweise messen und überwachen Sie Ihre Ziele bereits. Denken Sie also daran, zu bedenken, was Sie bereits tun und was möglicherweise mehr Aufwand erfordert. Die ISO versucht nicht, irgendjemanden auf der Messseite zu überrumpeln, sie möchte lediglich sicherstellen, dass Sie messen, worauf es ankommt, und viele intelligente Unternehmen werden dies bereits implizit, wenn nicht sogar expliziter, tun.

Verknüpfen Sie Ihre Arbeit hier eng mit den Managementbewertungen in 9.3 und platzieren Sie Ihre Nachweise der Ergebnisse in Ihrem Managementbewertungsausschuss-Arbeitsbereich oder verlinken Sie darauf, um sie bei bestimmten Überprüfungsbesprechungen und Audits einfacher zu nutzen.

Sie können die Ergebnisse Ihrer Leistungsmessung auf verschiedene Weise demonstrieren, von der Verwendung von Exporten Ihrer Betriebssysteme über die Nutzung der automatisierten Berichterstattung in ISMS.online (z. B. für Vorfälle) bis hin zur ggf. Verwendung einfacher KPIs, die im Management-Review-Arbeitsbereich hinzugefügt werden.

Bei Alliantist, dem Software- und Dienstleistungsunternehmen hinter ISMS.online, haben wir etwa sieben Informationssicherheitsziele festgelegt, von denen eines lautet:

„Bereitstellung eines sicheren, zuverlässigen Cloud-Dienstes für Benutzer (und andere interessierte Parteien), die Vertrauen und Gewissheit benötigen, dass die Plattform für ihren Zweck, vertrauliche Informationen zu teilen und mit ihnen zu arbeiten, geeignet ist.“

Wenn Sie nur dieses eine Ziel aufschlüsseln, wird deutlich, dass sich daraus eine Reihe messbarer und umsetzbarer Bereiche ergeben. Zum Beispiel:

• Sicher – was bedeutet das im Hinblick auf Vertraulichkeit und Integrität?
• Zuverlässig – was bedeutet das im Hinblick auf die Verfügbarkeit des sicheren Cloud-Softwaredienstes?

Wie man Informationssicherheitsziele messbar und umsetzbar macht

Aufbauend auf dem oben Gesagten ist die Verfügbarkeit von Systemen wie ISMS.online für die Kunden ein Maß für den Zuverlässigkeitserfolg von Alliantist. Wir haben also das Ziel (Zuverlässigkeit des Dienstes), ein Maß (Verfügbarkeit) und können dann ein Verfügbarkeitsziel festlegen, in diesem Fall eine Verfügbarkeit von mindestens 99.5 % (die wir kontinuierlich zu 100 % erreichen).

Dann haben wir die Häufigkeit der Messungen, den verantwortlichen Eigentümer und die Quelle der Daten für die Messung als Beweismittel berücksichtigt. Wir haben das dann in ISMS.online als KPI hinzugefügt, der im Rahmen der Managementbewertungen berücksichtigt wird, und da es eine grundlegende Messgröße für den Erfolg unseres Software-Services ist, wird es natürlich auch kontinuierlich operativ überwacht.

Die Quelle dieser Daten sind die Betriebszeitprotokolle. Einige andere eher strategische Kennzahlen, z. B. das Vertrauen von Kunden, Prüfern und Stakeholdern in unser ISMS insgesamt, werden seltener gemessen, sind in mancher Hinsicht subjektiver, aber dennoch wichtig als Teil der umfassenderen ISMS-Leistung.

Dies ist eine großartige Gelegenheit, Kennzahlen zu entwickeln, die für Ihr Unternehmen von Bedeutung sind, sofern dies noch nicht geschehen ist. Wir ermutigen zu weniger und besser gemanagten statt großen und schlecht gemanagten Ansätzen. Wenn in Ihrer Organisation Abteilungen und bestimmte Geschäftsbereiche unterschiedlich stark von der Vertraulichkeit, Integrität und Verfügbarkeit (CIA) betroffen sind, was eine Aufschlüsselung der Maßnahmen für jeden Bereich rechtfertigen würde, würde ISO erwarten, dass diese Aufschlüsselung ebenso wie die übergeordneten strategischeren Kennzahlen erfolgt.

Andere Metriken, die auch für den Nachweis von CIA hilfreich sind, ergeben sich ebenfalls aus einigen der von ISO 27001 festgelegten Anforderungen rund um die Verwaltung von Vorfällen, Risikobewertungen/-überprüfungen, Verbesserungen und Korrekturmaßnahmen usw. In ISMS.online verfügen wir über eine Reihe von Tools, die automatisch bereitstellen Leistungsstatistiken, die beim Nachweis der effektiven Leistung des ISMS hilfreich sind.

Dazu gehören die Verfolgung des Vorfallmanagements, Verbesserungen und Korrekturmaßnahmen sowie eine Vielzahl anderer Maßnahmen, die einen Großteil der Zielverwaltung zu einer Null-Aufwand-Übung machen, anstatt Zeit mit Tabellenkalkulationen und PowerPoint zu verschwenden.

So definieren Sie Prozesse und Verantwortlichkeiten für die Bewertung von Informationssicherheitszielen

Nachdem Sie Ihre Ziele definiert, Ihre Maßnahmen und deren Häufigkeit für die Messung festgelegt haben, müssen Sie zeigen, wie Sie bei der Bewertung der Ergebnisse vorgehen und dann Maßnahmen für etwaige erforderliche Änderungen oder Verbesserungen an Ihrem ISMS ergreifen.

Bei Alliantist stellen wir ein Team aus Vertretern der Geschäftsleitung zusammen, um den ISMS-Vorstand zu bilden. Für die Festlegung der Ziele für die einzelnen Maßnahmen ist das ISMS-Board verantwortlich. Unser Operations Director ist für die Ziele verantwortlich, die sich aus Produktions- und Betriebssicht auf das ISMS auswirken.

Die Quelldaten werden zur Beweiserstellung an die entsprechenden Mitarbeiter delegiert, die alle aus vorhandenen Systemen abgerufen und einfach in KPIs und Statistikberichten zusammengefasst werden, die Teil der regelmäßigen Managementbewertungen gemäß Abschnitt 9.3 sind.