Erfolgreiches Risikomanagement
Das Risikomanagement ist ein maßgeblicher Bestandteil im ISMS und sollte daher mit ausreichender Qualität durchgeführt werden.
Ein Risiko entsteht, wenn eine Bedrohung auf die Schwachstelle des Assets trifft und dieses dadurch negativ beeinträchtigt.
Wird die Schwachstelle ausgenutzt, dann kann der Organisation ein erheblicher Schaden entstehen, wir sprechen dann auch von einem Informationssicherheitsvorfall. Das Risikomanagement versucht diesen Ereignissen vorzubeugen, weshalb es wichtig ist, seine Assets zu kennen und diese kontinuierlich auf neue Bedrohungen zu prüfen. Das Risikomanagement hilft also nicht nur den Produktionsstillstand zu vermeiden, sondern auch z. B. einer Datenschutzverletzung oder einem Imageschaden vorzubeugen. Hierbei zielt das Risikomanagement in der Regel also auf die gesamte Organisation ab, auch wenn Teilbereiche womöglich gar nicht im Geltungsbereich sind.
Werden Risiken also frühzeitig erkannt und korrektive Maßnahmen ergriffen, kann die Kontinuität der relevanten Prozesse gewährleistet werden und der Schaden für die Organisation durch Informationssicherheitsvorfälle reduziert oder gänzlich vermieden werden.
Vertrauen ist gut, Kennzahlen und Audits sind besser
Der Mensch braucht Visualisierung, um einen Mehrwert für sich zu erkennen. Viele der Anforderungen ergeben durchaus Sinn und das ist auch allen Beteiligten in der Regel klar, dennoch hat man viel theoretisch gearbeitet und hat weniger konkrete Auswertungen an der Hand. Hier hat die ISO 27001 aber auch drei entsprechende Hilfsmittel an Board.
Kennzahlenerhebung mittels KPIs (Key Performance Indicator): Mit einem KPI hat man die Möglichkeit den Trend für einen bestimmten Prozess oder eine Zahl zu erkennen. Grundsätzlich kann man KPIs frei definieren, sollte dabei aber darauf achten, dass diese einen Trend darstellen können – nur so kann man verfolgen, wie sich dieser entwickelt hat.
Ein paar Beispiele für übliche KPIs sind:
| KPI | Beschreibung | Formel |
|---|---|---|
|
Geschulte Mitarbeiter |
Regelmäßig sind Unterweisungen der Mitarbeitenden im Rahmen des ISMS nötig. Hierbei hat man in der Regel die Gesamtzahl der Mitarbeitenden und kann die Zahl derjenigen ermitteln, die die Schulung gemacht haben. Je höher der Wert ist, desto eher kann man davon ausgehen, dass die Mitarbeiter beim Thema Informationssicherheit mitziehen werden. |
Anzahl der Mitarbeitenden die das Training absolviert haben / Gesamtanzahl der zu schulenden Mitarbeiter |
|
Risikoappetit |
Im Rahmen des Risikomanagements können Risiken mit einem bestimmten Schwellwert auch akzeptiert werden, was dazu führt, dass diese Risiken in der Regel nicht mehr betrachtet werden. Ist der Wert zu hoch, sollte das Risikomanagement auf Effektivität geprüft werden. Ein Risiko sollte in der Regel behandelt und nicht akzeptiert werden. |
(Anzahl der Risiken die akzeptiert werden / Gesamtzahl der Risiken) * 100 |
|
Systeme mit kritischen Schwachstellen |
Systeme mit kritischen Schwachstellen sollten möglich vermieden werden, dennoch kann es sein, dass eine größere Schwachstelle in einem Softwareprodukt für eine großflächige Schwachstelle sorgt. Dieses KPI eignet sich daher besonders, um das Management fortlaufend über den aktuellen Stand zu unterrichten. |
(Anzahl der Systeme mit kritischen Schwachstellen / Gesamtanzahl der Systeme) * 100 |
|
Kritische IT-Vorfälle |
Abweichungen zum Regelbetrieb sollten dokumentiert werden, dies erfolgt in der Regel dann als IT-Vorfall. Dabei können die Vorfälle verschiedene Klassifizierungen erhalten. Die kritischen IT-Vorfälle sollten dabei keine Überhand nehmen und immer im Verhältnis zu der Gesamtzahl bleiben. |
(Anzahl kritischer IT-Vorfälle / Gesamtanzahl IT-Vorfälle) * 100 |
Interne Audits: Mithilfe der internen Audits lassen sich auch nur Teilbereiche eines Unternehmens untersuchen. Dabei kann das interne Audit auch mithilfe eines externen Dienstleisters durchgeführt werden, was zusätzlich eine Unabhängigkeit darstellt und damit eine mögliche Betriebsblindheit oder ein "Good will" vermeidet. In der Regel ist der Auditbericht damit umfangreicher und sachlicher, was für die Behebung von entscheidender Bedeutung ist.
Management Review: Das Management erhält einen Bericht, in welchem die Wirksamkeit des ISMS über einen definierten Zeitraum dokumentiert und zusammengefasst ist. Damit kann die oberste Leitung entscheiden, ob die aktuelle Richtung der Leitlinie und den Anforderungen des Unternehmens entspricht, oder ob hier eine Kursänderung vorgenommen werden muss.
Zertifizierung
Wurden nun alle Schritte durchlaufen, viele Dokumente geschrieben und Prozesse aufgezeichnet, so geht es an den letzten Schritt: Die offizielle Zertifizierung des ISMS.
Die Zertifizierung erfolgt dabei in einem mehrstufigen Audit, dabei wird geprüft, ob das ISMS gemäß den Anforderungen der Norm aufgebaut und in der Organisation in ausreichender Qualität implementiert wurde. Im ersten Schritt fordert der Auditor einige grundlegende Dokumente an und prüft deren Inhalt und Struktur, dieser Schritt wird auch Dokumentenprüfung genannt. Im weiteren Schritt wird dann ein Vor-Ort-Audit gemacht und geprüft, ob die dokumentierten Informationen auch in der Organisation etabliert sind, dazu kann es auch Interviews mit Mitarbeitenden vor Ort geben.
Wichtig ist jedoch, dass das damit aufgebaute ISMS vor einer Auditierung mindestens drei Monate laufen muss und bereits ein internes Audit sowie ein Management Review stattgefunden haben.
Bei der Auswahl der Zertifizierungsstelle ist unbedingt darauf zu achten, dass dieses DAkkS-akkreditiert ist, denn nur mit dieser Akkreditierung hat das Zertifikat auch den gewünschten Marktwert und wird von Dritten anerkannt.
Sie möchten weitere Informationen zum Thema Informationssicherheit oder einen Beratungstermin vereinbaren? Dann hier entlang: Beratung zu ISO-Normen.
