ISO Security-Kennzahlen für mehr Informationssicherheit Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


10.02.2010 Edmund E. Lindau

ISO Security-Kennzahlen für mehr Informationssicherheit

Kennzahlen können das Security-Bewusstsein im gesamten Unternehmen verbessern sowie Informationssicherheit messbar und damit für das Management kalkulierbar machen.

Das ist das Ziel der neuen »ISO/IEC 27004 Richtlinie«, einer Subnorm des bekannten Standards für Informationssicherheit ISO 27001. Damit setzen die ISO-Gremien starke Signale in Richtung Kennzahlenkultur, denn bisher standen Messmethoden weniger im Mittelpunkt. »Das für Nicht-Experten nebulose Security-Thema wird mit Kennzahlen greifbar und erhält künftig einen breiteren Stellenwert im Unternehmen«, prognostiziert Erich Scheiber, Geschäftsführer des Zertifizierungsanbieters CIS. Denn durch Erfolgsmessung werde auch für andere Abteilungen sichtbar, in welch hohem Grad die Informationssicherheit alle betrieblichen Bereiche durchdringe – vom Einkauf über das Marketing bis zur Personalverwaltung.

METHODEN, FORMELN, ANALYSEN Mit der kürzlich veröffentlichten Subnorm erhalten Unternehmen einen Leitfaden für quantitative Erfolgskontrollen und Berichte in der Informationssicherheit (IS). Damit soll Prozessverbesserung nach »Plan-Do-Check-Act« noch wirksamer und fokussierter ausfallen. Der Standard bietet Messmethoden, mathematische Formeln, Definitionen für Basismaße und abgeleitete Maße, Analysetechniken sowie Entscheidungskriterien für aussagekräftige IS-Indikatoren.

»Insgesamt ist die sehr methodische ISO 27004 nicht für die Eins-zu-Eins-Umsetzung konzipiert. Unternehmen profitieren, wenn sie Inhalte selektiv anwenden und mit ausgesuchten Kennzahlen beginnen«, erklärt CIS-Auditor Herfried Geyer. Teilweise lehnt sich der Inhalt am US-amerikanischen Gegenstück NIST SP 800-55 an, der allerdings mehr Raum für qualitative Bewertungen lässt. »NIST SP 800-55 ist gut mit ISO 27004 kombinierbar und gilt salopp formuliert als praktikable Funktionalisierung des Bauchgefühls«, so Geyer.

Wesentliche Security-Forderungen der Dachnorm ISO 27001 wie Monitoring von Sicherheitsmaßnahmen, Dokumentation von Messmethoden oder Evaluierung durchgeführter Schulungen werden mit ISO 27004 bestens erfüllt. Welche Arten von Kennzahlen sinnvoll sind, bleibt dabei je nach Policies und Situation dem Anwender überlassen. Beispiele sind die Kundenstammdaten-Integrität oder der Schulungserfolg in Form des Mitarbeiteranteils in Awareness-Programmen sowie deren Verständnis von vermittelten Inhalten in Prozent (Multiple Choice via Intranet). Ebenso gehören Third-Party-Agreements mit IS-relevantem Zulieferverträgen dazu wie auch die Account-Kontrolle (Fehlerquote bei User Accounts). Ausschlaggebend sind auch Sicherheitsvorfälle (Anzahl/Rückgang pro Jahr mit Klassifizierung der Fälle nach ISO 27001).

»Erfolgsmessung mittels Kennzahlen wird künftig zu einer steigenden Anerkennung von Security-Anliegen und IS-Verantwortlichen in Unternehmen führen«, erwartet Geyer. Das eher »IT-lastige« Thema Informationssicherheit könne dadurch auch in den Augen der Mitarbeiter mehr und mehr zu einem ganzheitlichen Anliegen werden, das maßgeblich zum Unternehmenserfolg beitragen könne.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr

Hosted by:    Security Monitoring by: