Passt Ihre Sicherheitsstrategie?

ISMS: „Der Wert, den Sie messen können, ist der Wert, den Sie liefern“

[fa icon="calendar"] 19. November 2018 / von Jakob Holm Hansen

Mit ISMS-Leistungsmessungen kann der Sicherheitsbeauftragte den konkreten Unternehmenswert dokumentieren und gleichzeitig das Sicherheitsniveau der Organisation erhöhen. Ein White Paper bietet Inspiration, wie Leistungsmessungen im Rahmen einer ISMS-Lösung ausgewählt, definiert und durchgeführt werden.

Es gibt im Wesentlichen zwei Tendenzen, die die Entwicklung in den Bereichen IT-Sicherheit, Governance und Compliance prägen.

Zum einen sind Unternehmensaktivitäten insgesamt in den letzten Jahren wesentlich komplexer geworden. Die Digitalisierung und die deutschen und internationalen Bestimmungen zur Regulierung der Digitalisierung haben die administrativen Anforderungen an Unternehmen des Privatsektors und der öffentlichen Hand erhöht.

Zum anderen hat die Digitalisierung dazu geführt, dass für die IT-Sicherheit in Unternehmen größere Budgets veranschlagt wurden. Für alle Unternehmen ist es inzwischen unabdingbar, die Infrastruktur und die Lösungen zu gewährleisten, mit denen die gewünschten Effektivierungs- und Produktionszuwächse erzielt werden können.

ISMS macht den Unternehmenswert sichtbar

Mit einer ISMS-Lösung wird nicht nur die Abwicklung der Sicherheitsprozesse eines Unternehmens zentralisiert und automatisiert. Hierdurch wird auch ein Werkzeug bereitgestellt, das die Leistung der Sicherheitsmaßnahmen, die vom Unternehmen ergriffen werden, um den internen und externen Anforderungen Rechnung zu tragen, messen kann.

„Wie für andere Teile des Unternehmens gilt auch für die Sicherheitsbeauftragten, dass der Wert, den man messen kann, der Wert ist, den man liefert. Eine ISMS-Lösung muss in der Lage sein, der Geschäftsführung einen Überblick darüber zu verschaffen, wie effektiv das Unternehmen die eigenen Sicherheitsprozesse unterstützt. Andernfalls wird es schwierig, die steigenden Kosten für die Sicherheit zu rechtfertigen; außerdem kann das Unternehmen in diesem Fall keine gezielten Maßnahmen ergreifen, um das Sicherheitsniveau zu erhöhen,“ so Jakob Holm Hansen, Geschäftsführer.

Sicherheit und Unternehmensziele müssen übereinstimmen

Er empfiehlt, Leistungskennzahlen (KPI) in der ISMS-Lösung festzulegen und einzubinden, die auf die Unternehmensziele abgestimmt sind.

„Manche Unternehmen nehmen Leistungsmessungen für IT-Sicherheitsparameter vor, die für das Unternehmen irrelevant sind. Für die Geschäftsführung sind Leistungsmessungen der IT-Sicherheit, die eng mit der Kerntätigkeit des Unternehmens verknüpft ist, von großem Wert. Sicherheit ist kein Prozess, der unabhängig vom restlichen Unternehmen abläuft. Sicherheit ist die Voraussetzung für die Unternehmensführung,“ erläutert Jakob Holm Hansen.

Standardisierte Methode

Es gibt eine standardisierte Methode zur Auswahl, Festlegung und Messung der Leistungskennzahlen für die ISMS-Lösung, die als Entscheidungshilfe für die Geschäftsführung dienen sollen. Und es gibt eine standardisierte Methode dafür, wie die Leistungsmessungen so operationalisiert werden, dass sie für die Geschäftsführung auf übersichtliche Weise präsentiert werden.

„Die cleverste und einfachste Methode zur Operationalisierung der Leistungsmessungen besteht darin, einen Prozess zu automatisieren, der Daten sammelt und selbst einen Bericht erstellt, der dann der Geschäftsführung zur Verfügung gestellt wird. Wenn man für die Organisation der Sicherheitstätigkeiten und des Compliance-Programms einen Jahreszyklus verwendet, kann der Bericht der Geschäftsführung in die Struktur des Jahreszyklus einfließen, wodurch die Sicherheit laufend angepasst werden kann,“ so Jakob Holm Hansen abschließend. 

 

Anleitung zu den ISMS-KPI als Download

Laden Sie das White Paper über die ISMS-Leistungsmessung herunter und erhalten Sie Hilfe bei der Erstellung von Messgrößen und Prozessen. Die Anleitung enthält eine Liste über ausgewählte KPI als Inspirationsquelle.

Whitepaper herunterladen

 

 

 

Themen: ISO 27001, ISMS, jahreszyklus für informationssicherheit

Passt Ihre Sicherheitsstrategie?

Der Neupart-Blog bietet Informationen zu den Themen: Effektives Informations-sicherheitsmanagement, Sicherheits-strategien, Risikomanagement, Einhaltung der Informations-sicherheitsstandards sowie weiterer Anforderungen, Business Continuity Management, ISO2700x, EU-Datenschutz-Grundverordnung, PCI DSS usw.

Beliebte Beiträge