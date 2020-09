Inhaltsverzeichnis Tutorial: Informationssicherheitssystem ISMS prüfen und verbessern Kenne deine Zahlen Quantitative Erfassung zum Eingewöhnen Prüfen, testen und üben Sicherheitstests bei Technik und Mensch Ein Auditprogramm erstellen Resultate in Maßnahmen überführen Artikel in iX 9/2020 lesen

Der erste Teil des ISMS-Tutorials beschrieb, wie man Anforderungen an ein Unternehmen hinsichtlich eines Information Security Management System (ISMS) erfassen kann. Die Grundlage dafür bildeten unterschiedliche Quellen (Gesetzgeber, Kunden etc.), aus denen diese Anforderungen systematisch und kontinuierlich abgeleitet wurden. Der zweite Teil zeigte, wie man solche Anforderungen über das Risikomanagement in Vorgaben (zum Beispiel Richtlinien) und Aufgaben (zum Beispiel Umsetzung von Sicherheitsmaßnahmen) übersetzt. Dieser dritte und letzte Teil des Tutorials widmet sich nun dem Prüfen und Verbessern der Vorgaben und Aufgaben, aber auch des ISMS selbst. Es gilt zu schauen, an welchen Stellen es Abweichungen vom eigentlichen Ziel, also vom Einhalten der bestehenden Anforderungen, gibt. Darüber hinaus soll aber auch festgestellt werden, ob die etablierten Vorgehensweisen und Regelungen geeignet sind oder noch verbessert werden können.

Auch dieser Teil erhebt wie die beiden vorangehenden keinen Anspruch auf Zertifizierbarkeit nach einem bekannten ISMS-Standard (zum Beispiel ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz). Es geht darum, erst einmal anzufangen und die ersten Schritte in Richtung ISMS zu unternehmen.

Es gibt unterschiedliche Wege, Managementsysteme zu prüfen und zu verbessern. Eine Variante ist die Messung durch Kennzahlen – sogenannte Key Performance Indicators (KPI). Diese können regelmäßig erhoben werden und ermöglichen es so, das Einführen von Vorgehensweisen oder Regelungen nachzuverfolgen. Gerade kleinere Unternehmen arbeiten oftmals nicht mit Kennzahlen und tun sich daher schwer, sie zu nutzen. Dabei verlassen auch sie sich unbewusst auf Kennzahlen. Denn um nichts anderes handelt es sich, wenn man Gewinn-und-Verlust-Rechnungen auswertet oder beurteilt, ob Unternehmens- oder Projektziele erreicht wurden.