Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem
KPIs (Key Performance Indicators) in der Informationssicherheit sind Maßnahmen, die verwendet werden, um die Wirksamkeit von Sicherheitsprozessen und -systemen zu messen. Sie können verwendet werden, um die Leistung von Sicherheitsmaßnahmen im Laufe der Zeit zu verfolgen und mögliche Schwachstellen oder Bedrohungen zu identifizieren. Typische KPIs in der Informationssicherheit können beispielsweise sein:
Anzahl der Sicherheitsverletzungen pro Monat/Jahr
Durchschnittliche Zeit bis zur Erkennung einer Sicherheitsverletzung
Durchschnittliche Zeit bis zur Behebung einer Sicherheitsverletzung
Anzahl der Sicherheitsaudits pro Monat/Jahr
Anzahl der erfolgreich abgeschlossenen Sicherheitstrainings pro Jahr
Anzahl der Sicherheitsrisiken, die identifiziert und bewertet wurden
Anzahl der Patches, die innerhalb einer bestimmten Zeit installiert wurden
Effizienz und Effektivität
Effektivität
Anzahl der Sicherheitsvorfälle: Die Anzahl der Sicherheitsvorfälle zeigt an, wie gut das ISMS Risiken und Bedrohungen reduziert. Ein Rückgang der Sicherheitsvorfälle zeigt eine höhere Effektivität des ISMS an.
Zeit bis zur Erkennung und Behebung von Sicherheitsvorfällen: Ein effektives ISMS sollte in der Lage sein, Sicherheitsvorfälle schnell zu erkennen und zu beheben. Eine kürzere Zeitspanne zeigt eine höhere Effektivität des ISMS an.
Anzahl der abgeschlossenen Sicherheitsschulungen und -bewusstseinskampagnen: Ein höheres Maß an Sicherheitsbewusstsein bei den Mitarbeitern führt zu einer effektiveren Umsetzung der Sicherheitsrichtlinien und -verfahren. Daher zeigt eine höhere Anzahl von Schulungen und Kampagnen eine höhere Effektivität des ISMS an.
Effizienz
Anzahl der Sicherheitsvorfälle: Weniger Sicherheitsvorfälle bedeuten, dass das ISMS effizienter arbeitet, indem es die Häufigkeit von Vorfällen reduziert und die Ressourcen besser nutzt, um potenzielle Risiken zu minimieren.
Zeit bis zur Erkennung und Behebung von Sicherheitsvorfällen: Eine kürzere Zeitspanne zeigt eine effizientere Nutzung der Ressourcen, um auf Vorfälle zu reagieren und diese zu beheben. Dies bedeutet, dass das ISMS effizienter arbeitet, um die Geschäftskontinuität aufrechtzuerhalten.
Anzahl der abgeschlossenen Sicherheitsschulungen und -bewusstseinskampagnen: Ein effizientes ISMS sollte in der Lage sein, Mitarbeiter effektiv und in kurzer Zeit zu schulen. Eine höhere Anzahl von Schulungen und Kampagnen zeigt an, dass das ISMS effizienter arbeitet, um das Sicherheitsbewusstsein in der gesamten Organisation zu erhöhen und die Umsetzung der Sicherheitsrichtlinien und -verfahren zu unterstützen.
Wir unterstützen kleine und mittlere Unternehmen bei der Einführung der ISO 27001 und TISAX®.
Prozentsatz der überprüften und aktualisierten Richtlinien und Verfahren: Dieser KPI misst, wie oft Sicherheitsrichtlinien und Verfahren überprüft und aktualisiert werden. Ein höherer Prozentsatz zeigt an, dass das ISMS effektiv und effizient auf Veränderungen in der Sicherheitslandschaft reagiert.
Anzahl der durchgeführten Risikobewertungen: Dieser KPI misst die Anzahl der Risikobewertungen, die innerhalb eines bestimmten Zeitraums durchgeführt wurden. Eine höhere Anzahl zeigt an, dass das ISMS aktiv Risiken identifiziert und Maßnahmen zur Risikominderung ergreift.
Anzahl der identifizierten und behandelten Schwachstellen: Dieser KPI misst die Anzahl der erkannten Schwachstellen in Systemen und Anwendungen sowie die Anzahl der behandelten Schwachstellen. Ein höherer Wert zeigt eine bessere Fähigkeit des ISMS, Schwachstellen zu erkennen und zu beheben.
Prozentsatz der erfolgreich abgeschlossenen Sicherheitsaudits: Dieser KPI misst den Prozentsatz der Sicherheitsaudits, die erfolgreich abgeschlossen wurden und keine wesentlichen Abweichungen aufweisen. Ein höherer Prozentsatz zeigt eine effektivere und effizientere Umsetzung der Sicherheitsrichtlinien und -verfahren.
Anzahl der Zugriffsverletzungen und Datenschutzverstöße: Dieser KPI misst die Anzahl der Zugriffsverletzungen und Datenschutzverstöße, die innerhalb eines bestimmten Zeitraums identifiziert wurden. Ein Rückgang der Verletzungen und Verstöße zeigt eine verbesserte Effektivität und Effizienz des ISMS an.
Prozentsatz der Mitarbeiter, die Sicherheitsrichtlinien und -verfahren einhalten: Dieser KPI misst, wie gut die Mitarbeiter die Sicherheitsrichtlinien und -verfahren befolgen. Ein höherer Prozentsatz zeigt an, dass das ISMS effektiv und effizient darin ist, die Einhaltung der Richtlinien und Verfahren in der gesamten Organisation sicherzustellen.
Anzahl der Sicherheitsvorfälle: Basiswert: Anzahl der Sicherheitsvorfälle im letzten Jahr. Zielwert: Reduzierung der Sicherheitsvorfälle um 20 % im Vergleich zum Basiswert.
Zeit bis zur Erkennung und Behebung von Sicherheitsvorfällen: Basiswert: Durchschnittliche Zeit bis zur Erkennung und Behebung von Sicherheitsvorfällen im letzten Jahr. Zielwert: Reduzierung der Zeit bis zur Erkennung um 30 % und der Zeit bis zur Behebung um 25 % im Vergleich zum Basiswert.
Anzahl der abgeschlossenen Sicherheitsschulungen und -bewusstseinskampagnen: Basiswert: Anzahl der im letzten Jahr durchgeführten Schulungen und Kampagnen. Zielwert: Steigerung der Anzahl der Schulungen und Kampagnen um 50 % im Vergleich zum Basiswert.
Prozentsatz der überprüften und aktualisierten Richtlinien und Verfahren: Basiswert: Prozentsatz der im letzten Jahr überprüften und aktualisierten Richtlinien und Verfahren. Zielwert: 100 % der Richtlinien und Verfahren sollten jährlich überprüft und bei Bedarf aktualisiert werden.
Anzahl der durchgeführten Risikobewertungen: Basiswert: Anzahl der im letzten Jahr durchgeführten Risikobewertungen. Zielwert: Durchführung von mindestens einer Risikobewertung pro Jahr oder bei wesentlichen Änderungen im Unternehmen.
Anzahl der identifizierten und behandelten Schwachstellen: Basiswert: Anzahl der im letzten Jahr identifizierten und behandelten Schwachstellen. Zielwert: Identifizierung und Behebung von 90 % der kritischen Schwachstellen innerhalb eines Monats nach ihrer Entdeckung.
Prozentsatz der erfolgreich abgeschlossenen Sicherheitsaudits: Basiswert: Prozentsatz der im letzten Jahr erfolgreich abgeschlossenen Sicherheitsaudits. Zielwert: 100 % der Sicherheitsaudits sollten erfolgreich abgeschlossen werden, ohne dass wesentliche Abweichungen festgestellt werden.
Anzahl der Zugriffsverletzungen und Datenschutzverstöße: Basiswert: Anzahl der im letzten Jahr identifizierten Zugriffsverletzungen und Datenschutzverstöße. Zielwert: Reduzierung der Zugriffsverletzungen und Datenschutzverstöße um 25 % im Vergleich zum Basiswert.
Prozentsatz der Mitarbeiter, die Sicherheitsrichtlinien und -verfahren einhalten: Basiswert: Prozentsatz der Mitarbeiter, die im letzten Jahr die Sicherheitsrichtlinien und -verfahren eingehalten haben. Zielwert: 95 % oder mehr der Mitarbeiter
Anzahl der Backup- und Wiederherstellungstests: Dieser KPI misst die Anzahl der durchgeführten Backup- und Wiederherstellungstests innerhalb eines bestimmten Zeitraums. Zielwert: Durchführung von mindestens einem Backup- und Wiederherstellungstest pro Jahr oder bei wesentlichen Änderungen im Unternehmen.
Prozentsatz der abgeschlossenen Sicherheitsüberprüfungen von Drittanbietern: Dieser KPI misst den Prozentsatz der abgeschlossenen Sicherheitsüberprüfungen von Drittanbietern, die im Rahmen des ISMS festgelegt wurden. Zielwert: 100 % der vorgesehenen Sicherheitsüberprüfungen sollten innerhalb des festgelegten Zeitrahmens abgeschlossen werden.
Anzahl der durchgeführten Penetrationstests: Dieser KPI misst die Anzahl der durchgeführten Penetrationstests innerhalb eines bestimmten Zeitraums. Zielwert: Durchführung von mindestens einem Penetrationstest pro Jahr oder bei wesentlichen Änderungen in der Systemlandschaft.
Prozentsatz der Sicherheitslücken, die innerhalb der festgelegten Frist behoben wurden: Dieser KPI misst, wie schnell Sicherheitslücken behoben werden, nachdem sie entdeckt wurden. Zielwert: 90 % oder mehr der Sicherheitslücken sollten innerhalb der festgelegten Frist behoben werden.
Anzahl der identifizierten und behandelten Phishing-Angriffe: Dieser KPI misst die Anzahl der erkannten Phishing-Angriffe und die Anzahl der erfolgreich abgewehrten Angriffe. Zielwert: Reduzierung der erfolgreichen Phishing-Angriffe um 50 % im Vergleich zum Basiswert.
Prozentsatz der Systeme und Anwendungen, die regelmäßig gepatcht und aktualisiert werden: Dieser KPI misst den Prozentsatz der Systeme und Anwendungen, die regelmäßig gepatcht und aktualisiert werden, um Sicherheitslücken zu schließen. Zielwert: 95 % oder mehr der Systeme und Anwendungen sollten regelmäßig gepatcht und aktualisiert werden.
Prozentsatz der durchgeführten Business Continuity- und Disaster Recovery-Übungen: Dieser KPI misst den Prozentsatz der geplanten Business Continuity- und Disaster Recovery-Übungen, die innerhalb eines bestimmten Zeitraums durchgeführt wurden. Zielwert: 100 % der geplanten Übungen sollten innerhalb des festgelegten Zeitrahmens durchgeführt werden.
Anzahl der Sicherheitsrichtlinienverstöße: Dieser KPI misst die Anzahl der identifizierten Sicherheitsrichtlinienverstöße innerhalb eines bestimmten Zeitraums. Zielwert: Reduzierung der Sicherheitsrichtlinienverstöße um 25 % im Vergleich zum Basiswert.
Prozentsatz der Mitarbeiter, die regelmäßige Sicherheitsüberprüfungen bestehen: Dieser KPI misst den Prozentsatz der Mitarbeiter, die regelmäßige Sicherheitsüberprüfungen bestehen, um ihre Kenntnisse und Fähigkeiten auf dem neuesten Stand zu halten. Zielwert: 90 % oder mehr der Mitarbeiter sollten die Sicherheitsüberprüfungen bestehen.
Verfügbarkeit von kritischen Systemen und Anwendungen: Dieser KPI misst die Verfügbarkeit von kritischen Systemen und Anwendungen innerhalb eines bestimmten Zeitraums. Zielwert: 99,5 % oder mehr Verfügbarkeit für kritische Systeme und Anwendungen.
Prozentsatz der Sicherheitsanforderungen, die in neuen Projekten und Änderungsanträgen berücksichtigt werden: Dieser KPI misst, inwieweit Sicherheitsanforderungen in neuen Projekten und Änderungsanträgen berücksichtigt werden. Zielwert: 100 % der neuen Projekte und Änderungsanträge sollten Sicherheitsanforderungen berücksichtigen.
Anzahl der Sicherheitsverbesserungsvorschläge: Dieser KPI misst die Anzahl der von Mitarbeitern eingereichten Vorschläge zur Verbesserung der Informationssicherheit. Zielwert: Steigerung der Anzahl der Sicherheitsverbesserungsvorschläge um 25 % im Vergleich zum Basiswert.
KPIs (Key Performance Indicators) sind in der Informationssicherheit sinnvoll, weil sie dabei helfen, die Wirksamkeit von Sicherheitsmaßnahmen und -prozessen zu messen. Indem sie die Leistung messen, können Organisationen feststellen, ob ihre Sicherheitsmaßnahmen effektiv sind oder ob Verbesserungen erforderlich sind.
Darüber hinaus ermöglichen KPIs es Organisationen, Fortschritte im Laufe der Zeit zu verfolgen und Trends zu erkennen. Wenn beispielsweise die Anzahl der Sicherheitsverletzungen im Laufe der Zeit steigt, kann dies ein Hinweis darauf sein, dass die Sicherheitsmaßnahmen nicht ausreichend sind oder dass neue Bedrohungen auftreten.
Die Verwendung von KPIs in der Informationssicherheit hilft auch dabei, die Sicherheitsstrategie der Organisation zu verbessern und sicherzustellen, dass die Sicherheitsmaßnahmen mit den Geschäftszielen der Organisation übereinstimmen. Wenn beispielsweise das Geschäftsziel darin besteht, neue Märkte zu erschließen, können KPIs dazu beitragen, sicherzustellen, dass die Sicherheitsmaßnahmen den Anforderungen des neuen Marktes entsprechen.
Zusammenfassend können KPIs in der Informationssicherheit helfen, die Sicherheitsleistung zu messen, Fortschritte im Laufe der Zeit zu verfolgen und Verbesserungen zu identifizieren. Sie sind ein wichtiges Instrument zur Verbesserung der Sicherheitsstrategie und zur Minimierung von Sicherheitsrisiken.
Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001