3 Grundsätzliche Überlegungen
Das Bedürfnis nach Messung
Managementsysteme für Informationssicherheit haben den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen innerhalb eines Unternehmens bzw. eines festgelegten Bereichs zum Ziel. Mithilfe von definierten Prozessen und Schutzmaßnahmen sollen Strukturen geschaffen werden, innerhalb deren Informationssicherheit zunächst hergestellt, aufrechterhalten und, soweit erforderlich, verbessert werden kann. Da diese Prozesse und Schutzmaßnahmen fehlerbehaftet oder lückenhaft sein können, können die Schutzziele der Informationssicherheit nicht bereits durch deren Implementierung vollständig erreicht werden.
Managementsysteme für Informationssicherheit haben den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen innerhalb eines Unternehmens bzw. eines festgelegten Bereichs zum Ziel. Mithilfe von definierten Prozessen und Schutzmaßnahmen sollen Strukturen geschaffen werden, innerhalb deren Informationssicherheit zunächst hergestellt, aufrechterhalten und, soweit erforderlich, verbessert werden kann. Da diese Prozesse und Schutzmaßnahmen fehlerbehaftet oder lückenhaft sein können, können die Schutzziele der Informationssicherheit nicht bereits durch deren Implementierung vollständig erreicht werden.
Vielmehr ist es für den Betrieb eines funktionierenden ISMS wesentlich, die etablierten Prozesse zu überwachen, zu messen, zu analysieren und die erhaltenen Ergebnisse systematisch auszuwerten. Dadurch können mögliche Fehlerquellen identifiziert und in der Folge das ISMS insgesamt optimiert und den Bedürfnissen und Zielvorgaben des Unternehmens angepasst werden.
Stichhaltigkeit der Ergebnisse
Eine Überwachung, Messung, Analyse und Bewertung von ISMS-Prozessen kann nur dann sinnvoll sein, wenn gewährleistet ist, dass die erlangten Ergebnisse verwertbar sind. Nach der Vorgabe des Standards ISO/IEC 27004 kann die Verwertbarkeit der Ergebnisse dadurch erreicht werden, dass sie reproduzierbar und damit auch im Nachhinein noch nachprüfbar sind. Insoweit referenziert der Standard auf die ISO/IEC 27001, Normkapitel 9.1b) und gibt zum besseren Verständnis der dort aufgestellten Anforderung weitere Beispiele wie eine Verwertbarkeit der Ergebnisse erreicht werden kann.
Eine Überwachung, Messung, Analyse und Bewertung von ISMS-Prozessen kann nur dann sinnvoll sein, wenn gewährleistet ist, dass die erlangten Ergebnisse verwertbar sind. Nach der Vorgabe des Standards ISO/IEC 27004 kann die Verwertbarkeit der Ergebnisse dadurch erreicht werden, dass sie reproduzierbar und damit auch im Nachhinein noch nachprüfbar sind. Insoweit referenziert der Standard auf die ISO/IEC 27001, Normkapitel 9.1b) und gibt zum besseren Verständnis der dort aufgestellten Anforderung weitere Beispiele wie eine Verwertbarkeit der Ergebnisse erreicht werden kann.
Vorteile
Kurz wird in dem Standard auf mögliche Vorteile verwiesen, die sich aus dem Betrieb eines ISMS, sei es in organisatorischer oder finanzieller Hinsicht, ergeben können.
Kurz wird in dem Standard auf mögliche Vorteile verwiesen, die sich aus dem Betrieb eines ISMS, sei es in organisatorischer oder finanzieller Hinsicht, ergeben können.
