Gründsatze und Ziele in einer Informationssicherheitsleitlinie
Einige Beispiele für Grundsätze und messbare Ziele in der IS-Leitlinie
Kunden fragen mich sehr oft, wie man am besten Grundsätze und Ziele des ISMS in einer Leitline beschreibt.
Mache Kunden unterscheiden zwischen Grundsätze und Ziele, manche formulieren auch ausschließlich Ziele, was in Ordnung ist solange
- die Ziele sich aus einer übergreifenden Unternehmensstrategie ableiten und
- die Ziele messbar formuliert wurden.
Für alle Ziele sollte es folglich KPIs geben, deren Auswertung Teil des späteren Management-Reports sein sollten.
Beispiele für Grundsätze
- Grundsatz 1: Wir treffen unsere Entscheidungen hinsichtlich Informationssicherheit wirtschaftlich sinnvoll, also risikobasiert.
- Grundsatz 2: Wir schützen die Informationssicherheit der Organisation mittels einem „Internen Kontrollsystem“ (IKS) und den dort vorgesehenen drei Verteidigungslinien („Lines of Defense“).
- Grundsatz 3: Die Prozesseigner sind für die Mitigation der IS-Risiken, in den von ihnen verantworteten Prozessen der Organisation-Wertschöpfungskette, verantwortlich und müssen mittels entsprechender Aktivitäten (1.LoD) Sorge dafür tragen, dass die Prozesse keinen Risiken ausgesetzt sind, welche das vom Vorstand kommunizierten Risikoakzeptanzniveau (siehe hierzu IS-Richtlinie xx.xx Informationssicherheitsrisikoeinschätzungen) übersteigen.
- Grundsatz 4: Der CISO hat eine kontrollierende und steuernde Funktion und stellt somit die zweite Verteidigungslinie (2.LoD) des Organisation IKS dar. In der Wahrnehmung seiner Funktion kann der CISO weitere Regelungen / Grundsätze (in Form von IS-Richtlinien) publizieren.
- Grundsatz 5: Die Tätigkeiten des CISO werden durch die interne Revision – im Sinne einer dritten Verteidigungslinie – überwacht.
- Grundsatz 6: Der Vorstand bleibt final für die Informationssicherheit verantwortlich.
- Grundsatz 7: Wir orientieren uns beim Aufbau des ISMS an international anerkannte Standards, wie z. B. ISO 2700x
- Grundsatz 8: Wir streben eine stetige Verbesserung, sowohl in unseren Governance- als auch in den operativen Geschäftsprozessen der Wertschöpfungskette, an (KVP).
- etc.
Beispiele für messbare Ziele
ISMS-Ziel-1: Wir betreiben unser Geschäft „sicher“ und orientieren unser Informationssi-cherheitsmanagement an international anerkannte Standards
| ID |
Kennzahl |
| KPI-1.1: | Wir möchten, dass 100% der von der Norm vorgesehenen Pflichtdokumente existent und freigegeben sind. |
KPI-1.2: | Wir möchten pro Jahr mindestens ein internes ISMS Audit durch eine unabhängige dritte Partei und/oder die interne Revision erfolgreich bestanden haben. |
KPI-1.3: | Das Top-Management unterstützt die Tätigkeiten des CISO mit entsprechenden Res-sourcen und bewilligt mindestens 90% seiner identifizierten Verbesserungs¬potentiale, welche sich durch die ISO 27001 begründen lassen. |
KPI-1.4: | Wir möchten, dass 90% der vorgesehenen Steuerungsmaßnahmen etabliert (umge-setzt) sind und deren Wirksamkeit über ein Kennzahlensystem bestätigt ist. |
ISMS-Ziel-2: Wir wollen qualitätsmäßig hohes IS-Risikomanagement in unsere operativen Geschäftsprozesse verankern
| ID |
Kennzahl |
| KPI-2.1: | Wir möchten das es für mindestens 90% unserer Geschäftsprozesse eine aktuelle „business criticality scorecard“ gibt, welche nicht älter als ein Jahr ist. |
KPI-2.2: | Wir möchten, dass es für mindestens 90% unserer Geschäftsprozesse der Wert-schöpfungskette eine spezifisch Informationssicherheitsrisikoeinschätzung bzw. eine dokumentierte GAP-Analyse (basierend auf den XXX_ORG Standard-IT-Maßnahmen) gibt. |
KPI-2.3: | Von den vom CISO auditierten Risikoanalysen / GAP-Analysen müssen mindestens 90% als „abgenommen“ bewertet werden. |
ISMS-Ziel-3: Wir möchten, dass alle Geschäftsprozesse konform zu den internen und exter-nen IS-Anforderungen betrieben werden
| ID |
Kennzahl |
KPI-3.1: | Das ISMS-Team audiert pro Jahr mindestens 30% der durch das ISMS gesteuerten Prozesse hinsichtlich Einhaltung der IS Governance-Vorgaben. |
KPI-3.2: | Wir möchten, dass 90% der „Prozess Owner“ eine Stakeholder- und Umfeldanalyse (inkl. Compliance-Analyse) für den von ihnen verantworten Prozess durchgeführt haben. |
KPI-3.3: | Wir möchten, dass 90% der „Prozess Owner“ ihre Prozesse gemäß Governance-Vorgabe dokumentiert haben (z. B. Erstellung Betriebshandbuch). |
KPI-3.4: | Wir möchten, dass die Anzahl der notwendigen Ausnahmeregelungen (bezogen auf Umsetzung der IT-Standardmaßnahmen) unter 25% bleibt . |
KPI-3.5: | Wir möchten, dass für mindestens 80% der - von ITIL bzw. ISO 20000 beschriebenen IT-Betriebsprozesse – eine auf XXX_ORG angepasste Dokumentation vorliegt, die sowohl die Rollen- und Verantwortlichkeiten schärft als auch verbindliche Ergebnisobjekte, sogenannte Qualitäts-Kriterium-Resultate (QKR) einfordert. |
ISMS-Ziel-4: Wir möchten kompetente und sicherheitsaffine Mitarbeiter
| ID |
Kennzahl |
KPI-4.1: | Wir möchten das 90% unser Mitarbeiter die notwendigen - in den Stellenbeschreibungen beschriebenen – Kompetenzen haben UND in den letzten zwei Jahren an einem Sicherheits-Awareness-Training teilgenommen haben. |
ISMS-Ziel-5: Wir möchten unsere Managementsysteme stetig verbessern
| ID |
Kennzahl |
| KPI-5.1: | Wir betreiben einen KVP und setzen jährlich mindestens 80% der aus Nicht-Konformitäten abgeleiteten Verbesserungspotentiale um. |
KPI-5.2: | Mindestens 80% der seitens ISMS vorgesehenen Steuerungsmaßnahmen (Controls) werden – hinsichtlich Wirksamkeit – mittels eines Kennzahlensystem überwacht. |
IMPRESSUM