4 Besonderheiten
In Normkapitel 6 beschäftigt sich der Standard mit den Rahmenbedingungen eines Prozesses und legt näher dar, was überwacht und gemessen werden kann, wer für die Durchführung verantwortlich ist und wann die Prozesse der Überwachung, Messung, Analyse und Bewertung durchgeführt werden sollten.
Grundsätzliches
Die Bewertung der Leistung des Informationssicherheitssystems und der Wirksamkeit des ISMS wird mithilfe eines Prozesszyklus ermöglicht, an dessen Ende die eigentliche Bewertung steht. Begonnen wird mit der Überwachung und Messung der bestehenden ISMS-Prozesse und Sicherheitsmaßnahmen, an die sich Analyse und Bewertung anschließen.
Die Bewertung der Leistung des Informationssicherheitssystems und der Wirksamkeit des ISMS wird mithilfe eines Prozesszyklus ermöglicht, an dessen Ende die eigentliche Bewertung steht. Begonnen wird mit der Überwachung und Messung der bestehenden ISMS-Prozesse und Sicherheitsmaßnahmen, an die sich Analyse und Bewertung anschließen.
Um unnötige Kosten und eine unüberschaubare Datenflut zu vermeiden, sollte das Unternehmen exakt bestimmen, welche Ziele es konkret mit dem Betrieb des ISMS verfolgt. Danach sollten gezielt nur die ISMS-Prozesse und festgelegten Sicherheitsmaßnahmen für die Überwachung ausgewählt werden, durch deren Überwachung und Analyse eine Bewertung, ob die Sicherheitsziele erreicht wurden, möglich ist. ISMS-Prozesse und Sicherheitsmaßnahmen, bei denen davon auszugehen ist, dass sie keine zielführenden Daten liefern werden, sollten nicht in den Mess- und Überwachungsprozess einbezogen werden.
Gegenstand der Überwachung
Die Frage betreffend, was überwacht werden soll, listet der Standard in Normkapitel 6.2 beispielhaft Prozesse, Systeme und Aktivitäten auf, die im Rahmen der Leistungsbewertung überwacht werden können. Hierbei handelt es sich im Wesentlichen um Kernprozesse des ISMS und ausgewählte Sicherheitsmaßnahmen aus dem Annex A der ISO/IEC 27001.
Die Frage betreffend, was überwacht werden soll, listet der Standard in Normkapitel 6.2 beispielhaft Prozesse, Systeme und Aktivitäten auf, die im Rahmen der Leistungsbewertung überwacht werden können. Hierbei handelt es sich im Wesentlichen um Kernprozesse des ISMS und ausgewählte Sicherheitsmaßnahmen aus dem Annex A der ISO/IEC 27001.
Gegenstand der Messung
Die Messung stellt einen Vorgang dar, mit dem Defizite aufgedeckt und mögliche Verbesserungen angestoßen werden können. Im Rahmen des ISMS können Prozesse, Handlungen und Maßnahmen, allein oder in Kombination mit anderen, gemessen werden. Der Standard gibt wiederum verschiedene Beispiele, welche Prozesse und Handlungen Gegenstand einer Messung sein können.
Die Messung stellt einen Vorgang dar, mit dem Defizite aufgedeckt und mögliche Verbesserungen angestoßen werden können. Im Rahmen des ISMS können Prozesse, Handlungen und Maßnahmen, allein oder in Kombination mit anderen, gemessen werden. Der Standard gibt wiederum verschiedene Beispiele, welche Prozesse und Handlungen Gegenstand einer Messung sein können.
Im Hinblick auf die Leistung des Informationssicherheitssystems sind Maßnahmen und Maßnahmengruppen, wie sie im Risk-Treatment-Plan bestimmt wurden, die Teilbereiche des ISMS, die sich am ehesten für eine Messung anbieten.
Zeitpunkt
Ein Unternehmen sollte dezidiert festlegen, wann bzw. welche Ereignisse den Prüfungszyklus aus Überwachung, Messung, Analyse und Bewertung auslösen können. Der Standard weist darauf hin, dass es Sicherheitsziele geben kann, deren Erreichung nur mit einer Vielzahl von Daten zu ermitteln ist. Auch kann es notwendig sein, die eigentlichen Prozesse der Überwachung, Messung, Analyse und Bewertung selbst zu testen und deren Aufbau neu zu arrangieren, um ein ordnungsgemäßes Ergebnis zu gewährleisten.
Ein Unternehmen sollte dezidiert festlegen, wann bzw. welche Ereignisse den Prüfungszyklus aus Überwachung, Messung, Analyse und Bewertung auslösen können. Der Standard weist darauf hin, dass es Sicherheitsziele geben kann, deren Erreichung nur mit einer Vielzahl von Daten zu ermitteln ist. Auch kann es notwendig sein, die eigentlichen Prozesse der Überwachung, Messung, Analyse und Bewertung selbst zu testen und deren Aufbau neu zu arrangieren, um ein ordnungsgemäßes Ergebnis zu gewährleisten.
Zuständige Personen
Neben der Frage, was Gegenstand des Prüfungsprozesses ist und wann die Prüfung vorgenommen werden soll, muss außerdem festgelegt werden, wer die einzelnen Schritte aus Überwachung, Messung, Analyse und Bewertung durchführen soll. Die Festlegung kann unter anderem für eine spezifische Rolle erfolgen. Ferner können Rollen mit spezifischen Aufgabenbereichen und Verantwortlichkeiten definiert werden, um die unterschiedlichen Aufgaben besser zu strukturieren.
Neben der Frage, was Gegenstand des Prüfungsprozesses ist und wann die Prüfung vorgenommen werden soll, muss außerdem festgelegt werden, wer die einzelnen Schritte aus Überwachung, Messung, Analyse und Bewertung durchführen soll. Die Festlegung kann unter anderem für eine spezifische Rolle erfolgen. Ferner können Rollen mit spezifischen Aufgabenbereichen und Verantwortlichkeiten definiert werden, um die unterschiedlichen Aufgaben besser zu strukturieren.
