einfachISO
ISO 27001

IT-Sicherheit: Ohne passende Ziele geht’s nicht

Joachim Reinke
Von Joachim Reinke
Gründer & Geschäftsführer
IT-Sicherheit: Ohne passende Ziele gehts nicht

Informationssicherheit nach ISO 27001, Cybersecurity, IT-Sicherheit: Ohne passende Ziele geht's nicht! Wir zeigenen Ihnen, wie Sie sich einfach leicht messbare Ziele geben, die Ihnen zeigen, ob Sie auf dem richtigen Weg sind.

Wenn Sie auf dem Weg zu einer ISO 27001-Zertifizierung sind, werden Sie sich über kurz oder lang eine "Informationssicherheitsleitlinie (mit dem o.g. Video)" geben (auch genannt "IS-Policy", "IS-Richtline" o.ä.).

Und in dieser Leitlinie beschreiben Sie, welche Ziele Sie verfolgen. Nicht elegisch und nebulös. Nein, ganz konkret und messbar.

Dass diese Ziele in der Norm gefordert sind, liegt nicht daran, dass das in diesen sperrigen Normen halt nun einmal so ist - es ist einfach sinnvoll. Ohne Ziele lässt es sich nur schwierig fokussiert arbeiten.

Die geforderten Informationssicherheitsziele müssen gar nicht kompliziert sein, es ist recht einfach, sie abzuleiten.

Beispiel:

Sie bieten eine Applikation an, die bestimmte Daten vertraulich hält, bspw. Bewegungsdaten über Zahlungen.

1. IT-Sicherheitsziel Vertraulichkeit

Ihre Frage lautet: "Wann haben wir unser Ziel erreicht?"

Hier könnten Sie bspw. antworten: "Wenn wir selbst keinen Bruch der Vertraulichkeit festgestellt haben und unsere Kunden auch nicht."

Schon haben Sie ein passendes Ziel definiert. Als nächstes können Sie überlegen, wie Sie das messen möchten - auf einfache Art und Weise ohne viel Aufwand.

Hier könnten Sie sagen "Wir zählen einfach, wie häufig uns im Jahr Kunden anrufen, die uns uns nachweislich mitteilen, dass die Vertraulichkeit gebrochen wurde. Oder wie häufig unsere eigenen Mitarbeiter so einen Bruch feststellen."

Und zum Schluss: "Wenn das höchstens 1x im Jahr passiert, haben wir unser Ziel erreicht. Ansonsten nicht."

2. IT-Sicherheitsziel Integrität

Sie gehen ganz ähnlich vor. Die erste Frage lautet (analog zu oben): "Wann haben wir unser Ziel erreicht?"

Die optimale Antwort ist natürlich: "Wenn kein Kunde sagt, dass unsere Zahlen nicht stimmen - und wenn wir selbst auch nichts dergleichen festgestellt haben."

Das zweite Ziel ist definiert. Abschließend geben Sie sich auch hier noch eine Zielerreichung vor: "Wir zählen die Vorkommnisse: wie häufig hatten wir einen Bruch der Integrität von Daten im letzten Jahr"

Auch hier abschließend: "Wenn das höchstens 1x im Jahr vorkommt, sind wir einigermaßen zufrieden und halten das Ziel für erfüllt." (Vielleicht sind es bei Ihnen auch 2-3x - das liegt ganz bei Ihnen.)

3. IT-Sicherheitsziel Verfügbarkeit

Sie ahnen es schon - dasselbe Spiel. Hier würden Sie bspw. sagen "Wenn unsere Informationen im Jahr 24/7 zur Verfügung stehen und höchstens 1% der Gesamtzeit nicht verfügbar waren, ist für uns alles OK!"

Sie sehen schon

ISO 27001 und IT-Sicherheit: Ohne passende Ziele geht's nicht

Aber die Ziele zu finden und zu messen, muss kein immenser Aufwand für Sie sein. Halten Sie es einfach und unkompliziert!

Brauchen Sie noch ein paar passende Informationssicherheitsziele? Dann vereinbaren Sie doch einen kostenlosen Gesprächstermin.

Dieser Artikel gehört zum Thema ISO 27001 Zertifizierung — erfahren Sie mehr über die Zertifizierung.

Zurück zum Blog

Bevor Sie gehen — sichern Sie sich die ISO 27001 Checkliste

26 Seiten, 5 Kapitel, kostenlos als PDF.

  • Ihr Weg zur Zertifizierung — Einstieg und Überblick
  • Aufbau Ihres ISMS — die acht Komponenten
  • Risikobewertung & -behandlung — strukturiert vorgehen

Wir schicken Ihnen das PDF und gelegentlich praxisnahe Tipps. Abmeldung jederzeit per Klick. Keine Weitergabe an Dritte.