Fachthemen
Messen und Bewerten der Wirksamkeit von Informationssicherheits-Managementsystemen
Rainer Rumpel
Abstract
Der Sinn eines Managementsystems besteht darin, Abläufe systematisch und gleichbleibend verlässlich zu gestalten. Es sollen Verbesserungspotenziale erschlossen werden, um Verbesserungen vorzunehmen und nachweisbar zu erreichen. Viele Organisationen betreiben mittlerweile Managementsysteme. In Europa haben derzeit fast 9.000 Organisationen ein zertifiziertes Informationssicherheits-Managementsystem in Betrieb. Viele Unternehmen haben das Problem, die Effektivität des Systems plausibel und nachvollziehbar messen und bewerten zu können. Nachfolgend wird ein Vorgehensmodell präsentiert, das mit der gebotenen Einfachheit und der notwendigen Fundierung ein nachvollziehbares Verfahren zur Bewertung der Wirksamkeit des Managementsystems und der Informationssicherheitsleistung bietet. Wesentliche Erfolgsfaktoren bei der Konzeptionierung des Verfahrens sind die Prozessorientierung, der Goal-Question-Metric-Ansatz und die konsequente Ausrichtung an der Norm ISO/IEC 27001. Die Praxistauglichkeit wurde in Zusammenarbeit mit der RWE Deutschland AG getestet. Der Anwendungshintergrund sind die intelligenten Stromnetze (Smart Grid).
