6 Prozesse
Grundsätzliches
In Normkapitel 8 beschäftigt sich die ISO/IEC 27004 mit dem eigentlichen Prüfungszyklus, bestehend aus
In Normkapitel 8 beschäftigt sich die ISO/IEC 27004 mit dem eigentlichen Prüfungszyklus, bestehend aus
| • | Identifizierung des Informationsbedarfs, |
| • | Festlegung der Kennzahlen, |
| • | Implementierung von Prozessen bzw. Handlungsabfolgen, |
| • | Überwachung und Messung, |
| • | Analyse der Ergebnisse und |
| • | Auswertung der Leistung des Informationssicherheitssystems und der Effektivität des ISMS. |
Überwachung, Messung, Analyse und Bewertung stellen eigene Prozesse dar, für die die oben skizzierten Punkte definiert werden müssen.
Eine Verbesserung der Kennzahlen und der Messmethodik findet im Rahmen des üblichen Prozesses der kontinuierlichen Verbesserung des ISMS statt (siehe auch ISO/IEC 27001, Normkapitel 10).
Informationsbedürfnisse identifizieren
Bei der Definition von Kennzahlen besteht der erste Schritt darin, Informationsbedürfnisse zu identifizieren, die für das Verstehen der operativen Eigenschaften und/oder der Leistung ausgewählter Bereiche des ISMS hilfreich sein können.
Bei der Definition von Kennzahlen besteht der erste Schritt darin, Informationsbedürfnisse zu identifizieren, die für das Verstehen der operativen Eigenschaften und/oder der Leistung ausgewählter Bereiche des ISMS hilfreich sein können.
Schaffung und Verwaltung von Kennzahlen
Nach Maßgabe des Standards sollten Unternehmen Kennzahlen auswählen, implementieren und nachfolgend zu vorbestimmten Zeitpunkten, bzw. sobald eine gravierende Änderung eingetreten ist, systematisch überprüfen und anpassen. Die Schaffung und Verwaltung der einzelnen Kennzahlen stellt wiederum einen eigenen Prozess dar, wobei die einzelnen Schritte mit verschiedenen Beispielen beleuchtet werden.
Nach Maßgabe des Standards sollten Unternehmen Kennzahlen auswählen, implementieren und nachfolgend zu vorbestimmten Zeitpunkten, bzw. sobald eine gravierende Änderung eingetreten ist, systematisch überprüfen und anpassen. Die Schaffung und Verwaltung der einzelnen Kennzahlen stellt wiederum einen eigenen Prozess dar, wobei die einzelnen Schritte mit verschiedenen Beispielen beleuchtet werden.
Im ersten Schritt sollten bereits etablierte Sicherheitspraktiken bzw. Kennzahlen identifiziert werden, die die Befriedigung des Informationsbedürfnisses zum Gegenstand haben und als Hilfsmittel für eine weitere Messung des gesamten ISMS dienen könnten. Darüber sollte ein Inventar geführt werden.
Soweit weitere Kennzahlen erforderlich sind, um das Informationsbedürfnis zu befriedigen, sollte darauf geachtet werden, dass diese mit den bereits Existierenden korrespondieren. In jedem Fall sind die Kennzahlen aber so genau zu dokumentieren, dass eine Implementierung überhaupt möglich ist.
Unternehmen sollten Kennzahlen in der Form dokumentieren, dass der Bezug zu dem Informationsbedarf, für den die Kennzahlen eingeführt wurden, klar erkenntlich ist. Ferner sollte die Funktionsweise der Kennzahlen detailgenau dokumentiert und die Art der Informationssammlung, -analyse und das Berichtswesen sollten festgelegt werden.
Bei jedem Entwicklungsschritt ist das Management mit einzubeziehen, um zu gewährleisten, dass die Maßnahmen deren Entscheidung widerspiegeln und so eine umfassende Akzeptanz der Maßnahmen erreicht wird.
Prozesse etablieren
Unternehmen sollten Prozesse zur Datensammlung, Analyse und Meldung der etablierten Kennzahlen einführen. Im nächsten Schritt müssen die Kennzahlen daraufhin überprüft werden, ob sie sinnvoll sind.
Unternehmen sollten Prozesse zur Datensammlung, Analyse und Meldung der etablierten Kennzahlen einführen. Im nächsten Schritt müssen die Kennzahlen daraufhin überprüft werden, ob sie sinnvoll sind.
Überwachen und messen
Es sollten Prozesse für die Überwachung und die Messung der Kennzahlen definiert werden. Für die Verifikation der Daten können zum Beispiel Checklisten herangezogen werden. Eine ausreichend große Datenbasis sorgt dabei dafür, dass die Ergebnisse der Prozesse zuverlässig sind. Bevor die Ergebnisse der Messung veröffentlicht werden, sollte geprüft und festgelegt werden, an wen eine Bekanntgabe erfolgen soll.
Es sollten Prozesse für die Überwachung und die Messung der Kennzahlen definiert werden. Für die Verifikation der Daten können zum Beispiel Checklisten herangezogen werden. Eine ausreichend große Datenbasis sorgt dabei dafür, dass die Ergebnisse der Prozesse zuverlässig sind. Bevor die Ergebnisse der Messung veröffentlicht werden, sollte geprüft und festgelegt werden, an wen eine Bekanntgabe erfolgen soll.
Ergebnisse analysieren
Die gesammelten Daten sollten im Hinblick auf das zu erreichende Ziel analysiert und ausgewertet werden. Mit der Datenanalyse sollten Lücken zwischen den erwarteten und tatsächlichen Messergebnissen aufgedeckt werden. Soweit Lücken bestehen, könnten diese auf einen eventuellen Verbesserungsbedarf des ISMS und seiner Bestandteile hinweisen.
Die gesammelten Daten sollten im Hinblick auf das zu erreichende Ziel analysiert und ausgewertet werden. Mit der Datenanalyse sollten Lücken zwischen den erwarteten und tatsächlichen Messergebnissen aufgedeckt werden. Soweit Lücken bestehen, könnten diese auf einen eventuellen Verbesserungsbedarf des ISMS und seiner Bestandteile hinweisen.
Leistung auswerten
Durch die Auswertung der zuvor durchgeführten Schritte kann festgestellt werden, ob das Informationsbedürfnis befriedigt wird.
Durch die Auswertung der zuvor durchgeführten Schritte kann festgestellt werden, ob das Informationsbedürfnis befriedigt wird.
Prozesse überprüfen/verbessern
Die Prozesse der Überwachung, Messung, Analyse und Bewertung sollten fortlaufend verbessert werden, wozu verschiedene Methoden zur Verfügung stehen, die im Standard exemplarisch aufgeführt sind.
Die Prozesse der Überwachung, Messung, Analyse und Bewertung sollten fortlaufend verbessert werden, wozu verschiedene Methoden zur Verfügung stehen, die im Standard exemplarisch aufgeführt sind.
Ergebnisse aufbewahren/kommunizieren
Nach Maßgabe der ISO/IEC 27001, Normkapitel 9.1 sind die Ergebnisse aus Überwachung und Messung in geeigneter Form aufzubewahren.
Nach Maßgabe der ISO/IEC 27001, Normkapitel 9.1 sind die Ergebnisse aus Überwachung und Messung in geeigneter Form aufzubewahren.
