Beschreibung¶
Zur Messung der Wirksamkeit des ISMS ist es notwendig, Kennzahlen zu definieren und diese regelmäßig zu messen. So erhält man Aussagen über die reale Sicherheit der Organisation. Diese Kennzahlen werden auf Grundlage der Unternehmensziele, gesetzlichen Vorgaben und der Schutzbedürfnisse definiert und werden auch Key-Performance-Indikatoren (KPI) genannt. Die Kennzahlen werden im Rahmen der Managementbewertung dargestellt und analysiert, um nach Bedarf über zusätzliche Maßnahmen eine Verbesserung zu erreichen.
Vorgehen¶
| Aktivität | Beschreibung | Anmerkung | |
|---|---|---|---|
| 1 | Sicherheitsziele festlegen | Um sinnvolle und angemessene Kennzahlen (KPI) definieren zu können ist es erforderlich, sich vorab über die Sicherheitsziele Gedanken zu machen. | Die Sicherheitsziele sollten sich aus den Unternehmenszielen ableiten. Die Aufgabe die Sicherheitsziele mit der Geschäftsführung abzustimmen liegt für gewöhnlich beim CISO. Sicherheitsziele sind zudem möglichst "SMART": spezifisch, messbar, akzeptiert, realistisch, terminiert |
| 2 | Kennzahlen definieren | Für den Anfang sollten mindestens drei Kennzahlen definiert werden. Sinnvoll hierbei ist der Bezug zu den Informationssicherheitszielen. Über gute und wirksame KPI lässt sich die Erreichung der Sicherheitsziele messen. | Beispiel - Sicherheitsziel: Etablierung eines ISMS zur Steigerung des Sicherheitsniveaus im Unternehmen - KPI: Reifegrad der 114 Controls der ISO27001 Norm entspricht >= 1 Gegebenenfalls können auch Kennzahlen genutzt werden, die bereits vorhanden sind. Beispielsweise die Verfügbarkeit von IT-Systemen oder Kennzahlen aus einem Intrusion Detection System oder einer Web-Application-Firewall. |
| 3 | Sollwert definieren | Die Sollwerte werden auf der Seite Beschreibung der Kennzahlen (KPI) festgelegt. Die Werte können absolut oder prozentual sein und sollten am besten für die kommenden drei Jahre festgelegt werden. Eine ggf. notwendige Anpassung der Sollwerte kann im Rahmen der Managementbewertung mit der Geschäftsführung bestimmt werden. | Beispiele 1. Anzahl der Informationssicherheitsvorfälle mit mittlerer und hoher Priorität. Sollwert: < 2 2. Anzahl der Mitarbeiter, die an der jährlichen Informationssicherheitsschulung teilgenommen haben. Sollwert: 100% |
| 4 | Auswertung und Reporting | Für die Auswertung werden die Messwerte in die Tabelle "Übersicht der Messwerte" auf der Seite Messwerte der Kennzahlen eingetragen. Die hier hinterlegten Messwerte werden später im Managementbericht dargestellt und dienen dienen dem Management als nachvollziehbare und verständliche Grundlage für fundierte Entscheidungen zur Steuerung der Informationssicherheit. | Bei dem Erzeugen des Managementberichts im Modul 07 - Managementbewertung werden die Messwerte automatisch übernommen. |
| 5 | Verbesserung | Bei Abweichungen vom Soll-Wert werden ggf. Maßnahmen festgelegt, welche in den kontinuierlichen Verbesserungsprozess fliessen. | Maßnahmen können direkt im ISMS SmartKit erstellt und nachgehalten werden oder es wird z.B. das unternehmenseigene Ticketsystem dafür genutzt. |
| 6 | Regelmäßige Überprüfung | Kennzahlen sollten mindestens jährlich und nach Bedarf geprüft werden, ob diese noch aktuell sind und den Anforderungen des Unternehmens entsprechen. |
Linksammlung¶
| Bezeichnung | Beschreibung | Pfad/Link | Anmerkung |
|---|---|---|---|
| Sicherheitsziele | Sicherheitsziele müssen mit den Unternehmenszielen abgestimmt und dokumentiert werden. | Link | |
| Beschreibung der Kennzahlen (KPI) | Hier werden die Kennzahlen sowie die Sollwerte dokumentiert. | Link | |
| Messwerte der Kennzahlen | Zur Auswertung und für den Managementbericht werden hier die Messwerte in einer Tabelle dokumentiert. | Link | |
| Maßnahmen | Hier werden Maßnahmen festgelegt. | Link | Hier werden auch solche Maßnahmen dokumentiert, die zum Ziel haben, die (zukünftige) Erreichung von Sicherheitszielen und Kennzahlen sicherzustellen. |
| SMART-Ziele | Die Definition von SMART Zielen ist eine Methodik aus dem Projektmanagement, die sich auch gut auf Sicherheitsziele im Rahmen eines ISMS anwenden lässt. | Link |
Wo finde ich was?
Seiteninhalt
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |