Zum Inhalt springen
📞 Praxisbezogene & bezahlbare ISO 27001 / TISAX Beratung: Jetzt kostenloses Erstgespräch sichern → Termin vereinbaren
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Ziele der Informationssicherheit ISO 27001

Ziele der Informationssicherheit ISO 27001

Ziele der Informationssicherheit in der ISO 27001

Die Ziele der Informationssicherheit in der ISO 27001 sind darauf ausgerichtet, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Organisationen zu gewährleisten. Die ISO 27001 ist ein internationaler Standard für Informationssicherheitsmanagement, der Unternehmen bei der Identifizierung von Bedrohungen und Risiken für ihre Informationen und IT-Systeme unterstützt und die Implementierung von Maßnahmen zur Risikominimierung und -kontrolle vorschreibt. Die Ziele der ISO 27001 umfassen:

Schutz von vertraulichen Informationen

Das erste Ziel der ISO 27001 ist der Schutz von vertraulichen Informationen, um sicherzustellen, dass Informationen nur von autorisierten Personen zugänglich sind. Die Implementierung von Kontrollen zur Zugriffsverwaltung, Verschlüsselung und physischen Sicherheit von IT-Systemen kann dazu beitragen, die Vertraulichkeit von Informationen zu gewährleisten.

Sicherung der Integrität von Informationen

Das zweite Ziel der ISO 27001 ist die Sicherung der Integrität von Informationen, um sicherzustellen, dass Informationen vollständig und korrekt sind und nicht unautorisiert geändert werden können. Die Implementierung von Kontrollen zur Überprüfung von Datenänderungen, zur Datensicherung und -wiederherstellung sowie zur Schulung von Mitarbeitern kann dazu beitragen, die Integrität von Informationen zu gewährleisten.

Gewährleistung der Verfügbarkeit von Informationen

Das dritte Ziel der ISO 27001 ist die Gewährleistung der Verfügbarkeit von Informationen, um sicherzustellen, dass Informationen bei Bedarf verfügbar sind. Die Implementierung von Kontrollen zur Systemverfügbarkeit, zur Datensicherung und -wiederherstellung sowie zur Notfallvorsorge kann dazu beitragen, die Verfügbarkeit von Informationen zu gewährleisten.

Risikomanagement

Ein weiteres Ziel der ISO 27001 ist das Risikomanagement, um sicherzustellen, dass Unternehmen die Bedrohungen und Risiken für ihre Informationen und IT-Systeme verstehen und geeignete Maßnahmen zur Risikominimierung und -kontrolle ergreifen. Die Implementierung von Risikobewertungen, Kontrollen zur Risikominimierung und -kontrolle sowie zur Überwachung und Bewertung von Risiken kann dazu beitragen, das Risiko von Datenverlusten und Datenschutzverletzungen zu minimieren.

Kontinuierliche Verbesserung

Das letzte Ziel der ISO 27001 ist die kontinuierliche Verbesserung des Informationssicherheitsmanagementsystems, um sicherzustellen, dass die Informationssicherheit in der Organisation kontinuierlich verbessert wird. Die Implementierung von internen Audits, regelmäßigen Überprüfungen des Informationssicherheitsmanagementsystems und Verbesserungsvorschlägen kann dazu beitragen, das Informationssicherheitsmanagement kontinuierlich zu verbessern.

ISO 27001 Handbuch - Best Practice

Wir unterstützen kleine und mittlere Unternehmen bei der Einführung der ISO 27001 und TISAX®.

  • Keine versteckte Kosten
  • In 20 Wochen zum ISO 27001 Zertifikat
  • Inkl. der Auditvor- und Nachbereitung
  • Zertifizierungsbegleitung
  • Flexibel – Zeitnah – Kompetent

Messbare Ziele in der ISO 27001

Ziele der Informationssicherheit ISO 27001 müssen messbar und praktikabel sein. Das bedeutet, dass es wichtig ist, in der Lage zu sein, zu bewerten, ob ein Ziel erreicht wurde oder nicht. Ferner sollten die Ziele mit den geltenden Anforderungen an die Informationssicherheit übereinstimmen und Ergebnisse aus der Risikoeinschätzung und der Risikobehandlung beinhalten. Die Ziele und deren Ergebnisse müssen als dokumentierte Information vorliegen.

Anzahl der erfolgreich abgeschlossenen Risikobewertungen pro Jahr

Dieses Ziel misst die Anzahl der Risikobewertungen, die erfolgreich abgeschlossen wurden, um das Risikomanagement des Unternehmens zu verbessern. Unternehmen können dieses Ziel messen, indem sie die Anzahl der abgeschlossenen Risikobewertungen in einem bestimmten Zeitraum zählen.

Reduzierung der Anzahl von Sicherheitsvorfällen pro Jahr

Dieses Ziel misst die Wirksamkeit der implementierten Informationssicherheitskontrollen, um Sicherheitsvorfälle zu minimieren. Unternehmen können dieses Ziel messen, indem sie die Anzahl der Sicherheitsvorfälle in einem bestimmten Zeitraum vergleichen und sicherstellen, dass sie sich verringert haben.

Erhöhung der Anzahl von Mitarbeitern, die im Bereich Informationssicherheit geschult wurden

Dieses Ziel misst die Anzahl der Mitarbeiter, die über Informationssicherheit geschult wurden, um sicherzustellen, dass das Bewusstsein für Informationssicherheit im Unternehmen erhöht wird. Unternehmen können dieses Ziel messen, indem sie die Anzahl der geschulten Mitarbeiter in einem bestimmten Zeitraum zählen und sicherstellen, dass sie gestiegen ist.

Reduzierung der Dauer von Ausfallzeiten von IT-Systemen

Dieses Ziel misst die Wirksamkeit der implementierten IT-Systemverfügbarkeitskontrollen, um Ausfallzeiten von IT-Systemen zu minimieren. Unternehmen können dieses Ziel messen, indem sie die durchschnittliche Dauer von IT-Systemausfällen in einem bestimmten Zeitraum vergleichen und sicherstellen, dass sie sich verringert hat.

Erhöhung der Anzahl von internen Audits pro Jahr

Dieses Ziel misst die Anzahl der internen Audits, die durchgeführt wurden, um die Wirksamkeit des ISMS zu überprüfen. Unternehmen können dieses Ziel messen, indem sie die Anzahl der durchgeführten internen Audits in einem bestimmten Zeitraum zählen und sicherstellen, dass sie gestiegen ist.

Implementierung von Informationssicherheitskontrollen

Dieses Ziel legt fest, dass Unternehmen angemessene Informationssicherheitskontrollen implementieren müssen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen sicherzustellen. Die Implementierung von Kontrollen kann dazu beitragen, Bedrohungen und Risiken für die Informationen des Unternehmens zu minimieren und das Risikomanagement zu verbessern.

Identifizierung und Bewertung von Risiken

Dieses Ziel legt fest, dass Unternehmen Risiken für ihre Informationen und IT-Systeme identifizieren und bewerten müssen, um die Risiken angemessen zu minimieren und zu kontrollieren. Durch die Durchführung von Risikobewertungen können Unternehmen Bedrohungen und Risiken für ihre Informationen identifizieren und geeignete Maßnahmen zur Risikominimierung ergreifen.

Sicherheitsvorfälle behandeln

Dieses Ziel legt fest, dass Unternehmen geeignete Verfahren zur Behandlung von Sicherheitsvorfällen implementieren müssen, um sicherzustellen, dass Sicherheitsvorfälle effektiv behandelt und behoben werden. Die Implementierung von Verfahren zur Behandlung von Sicherheitsvorfällen kann dazu beitragen, die Auswirkungen von Sicherheitsvorfällen zu minimieren und die Wiederherstellung von Systemen und Informationen zu erleichtern.

Kontinuierliche Verbesserung

Dieses Ziel legt fest, dass Unternehmen kontinuierlich ihre Informationssicherheitsprozesse und -maßnahmen verbessern müssen, um sicherzustellen, dass das Informationssicherheitsmanagementsystem den sich ständig ändernden Bedrohungen und Risiken gerecht wird. Durch die kontinuierliche Verbesserung können Unternehmen sicherstellen, dass ihre Informationssicherheitsmaßnahmen immer auf dem neuesten Stand sind und den Anforderungen entsprechen.

Diese messbaren Ziele können Unternehmen dabei helfen, ihre Fortschritte bei der Umsetzung ihres ISMS zu messen und zu überwachen. Durch die Festlegung von messbaren Zielen können Unternehmen sicherstellen, dass sie ihre Informationssicherheitsziele erreichen und ihre Informationssicherheit kontinuierlich verbessern.

Planung der Ziele

Die Planung von Zielen in der ISO 27001 erfolgt im Rahmen des Informationssicherheitsmanagementsystems (ISMS) eines Unternehmens. Die ISO 27001 legt fest, dass das ISMS auf einer Risikobewertung basieren muss, die Bedrohungen und Risiken für die Informationen und IT-Systeme des Unternehmens identifiziert und bewertet. Die Ergebnisse der Risikobewertung werden verwendet, um Ziele für die Informationssicherheit festzulegen.

Identifikation von Informationssicherheitszielen

Das Unternehmen identifiziert die Ziele, die es erreichen möchte, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen zu gewährleisten. Die Ziele sollten SMART sein: spezifisch, messbar, erreichbar, relevant und zeitgebunden.

Festlegung von Maßnahmen zur Erreichung der Ziele

Das Unternehmen legt die Maßnahmen fest, die erforderlich sind, um die identifizierten Ziele zu erreichen. Diese Maßnahmen basieren auf den Ergebnissen der Risikobewertung und sind so gewählt, dass sie Bedrohungen und Risiken wirksam minimieren.

Festlegung von Verantwortlichkeiten

Das Unternehmen definiert die Verantwortlichkeiten für die Umsetzung der Maßnahmen und die Erreichung der Ziele. Klare Zuweisungen stellen sicher, dass alle Mitarbeitenden wissen, wer für welchen Teil verantwortlich ist.

Überwachung und Bewertung von Zielen

Das Unternehmen überwacht und bewertet regelmäßig die Fortschritte bei der Umsetzung der Maßnahmen und bei der Zielerreichung. Dies geschieht durch interne Audits und regelmäßige ISMS-Reviews.

Die Planung von Zielen in der ISO 27001 ist ein wichtiger Schritt bei der Implementierung eines effektiven ISMS. Sie stellt sicher, dass alle Maßnahmen auf die konkreten Bedürfnisse und Bedrohungen des Unternehmens abgestimmt sind und Informationssicherheit nicht zufällig, sondern strategisch und nachvollziehbar gesteuert wird.

FAQ – Ziele der Informationssicherheit ISO 27001

1Was sind die Hauptziele der Informationssicherheit?
Die zentralen Schutzziele sind Vertraulichkeit, Integrität und Verfügbarkeit. Informationen sollen nur berechtigten Personen zugänglich sein, unverändert bleiben und bei Bedarf verfügbar sein.
2Warum müssen Ziele messbar sein?
ISO 27001 fordert messbare Ziele, um die Zielerreichung objektiv überprüfen zu können. Dazu werden Kennzahlen, Zielwerte und regelmäßige Überprüfungen festgelegt.
3Wie werden die Ziele geplant?
Die Planung erfolgt auf Basis der Risikobewertung. Jedes Ziel muss spezifisch, erreichbar, relevant und mit Zuständigkeiten versehen sein. Maßnahmen und Zeitpläne sind zu dokumentieren.
4Welche Rolle spielt die Informationssicherheitsrichtlinie?
Die Richtlinie legt den Rahmen für die Sicherheitsziele fest. Alle operativen Ziele sollten aus ihr abgeleitet werden und mit der strategischen Ausrichtung übereinstimmen.
5Welche typischen Beispiele für Sicherheitsziele gibt es?
Beispiele: Verringerung von Sicherheitsvorfällen, Erhöhung der Schulungsquote, Durchführung regelmäßiger Risikobewertungen oder Verbesserung von Backup- und Wiederherstellungszeiten.
6Müssen Ziele intern bekanntgemacht werden?
Ja. Ziele müssen den relevanten internen Parteien zugänglich gemacht werden, sodass sie verstanden und umgesetzt werden können. Eine externe Kommunikation ist optional.
7Wie oft werden Ziele überprüft?
In der Praxis mindestens jährlich, oft im Rahmen der Managementbewertung oder interner Audits. Je nach Größe und Risiko kann auch ein kürzerer Zyklus sinnvoll sein.
8Darf ein Ziel auch qualitativ sein?
Ja. Neben quantitativen Kennzahlen können auch qualitative Ziele festgelegt werden, sofern sie nachvollziehbar und überprüfbar sind.
9Wie hängen Ziele mit dem Risikomanagement zusammen?
Ziele werden aus der Risikobewertung abgeleitet. Sie adressieren identifizierte Bedrohungen und steuern Maßnahmen zur Risikoreduktion oder -kontrolle.
10Wer ist verantwortlich für die Zielerreichung?
Die Verantwortung wird klar zugeordnet, typischerweise an den Informationssicherheitsbeauftragten, Prozesseigner oder Führungskräfte in den Fachabteilungen.
11Wie wird die Zielerreichung dokumentiert?
Durch dokumentierte Informationen wie Zielberichte, Messwerte, Audit-Ergebnisse oder Fortschrittsberichte. Diese Dokumentation ist wesentlicher Bestandteil des ISMS.
12Was passiert, wenn Ziele nicht erreicht werden?
In diesem Fall müssen Ursachen analysiert, Maßnahmen zur Verbesserung festgelegt und der zentrale Maßnahmenplan aktualisiert werden. Korrekturmaßnahmen sind verpflichtend.

Informationssicherheitsrichtlinie

Nachfolgend ist der vollständige Inhalt zur Informationssicherheitsrichtlinie in strukturierter Form dargestellt. Die Kacheln dienen lediglich der besseren Lesbarkeit – der Text wurde unverändert übernommen.

Ziele & Rahmen
Die Informationssicherheitsrichtlinie sollte die Ziele für die Informationssicherheit beinhalten oder einen Rahmen für die Festlegung der Ziele bereitstellen. Die Ziele der Informationssicherheit können auf verschiedene Weise ausgedrückt werden. Die Ziele sollten geeignet sein, die Anforderung zu erfüllen, messbar sein ( siehe ISO/IEC 27001:2013, Abschnitt. 6.2 b).
Anforderungen & Konsistenz
Die Informationssicherheitsrichtlinie legt die Anforderungen für die Informationssicherheit in einer Organisation fest. Alle anderen spezifischen Anforderungen, die für relevante Funktionen und Ebenen festgelegt werden, sollten mit der Richtlinie übereinstimmen. Wenn die Informationssicherheitsrichtlinie Ziele für die Informationssicherheit verfolgt, sollten alle anderen spezifischen Ziele für die Informationssicherheit mit den Zielen in der Informationssicherheitsrichtlinie verknüpft werden. Wenn die Informationssicherheitspolitik nur den Rahmen für die Festlegung von Zielen bietet, sollte dieser Rahmen eingehalten werden und sicherstellen, dass spezifischere Ziele mit den allgemeineren verknüpft werden.
Messbarkeit & Bewertung
Nicht jedes Ziel kann messbar sein, aber die Messwerte von Zielen unterstützen die Erreichung und Verbesserung. Die Ziele sollten qualitativ oder quantitativ dokumentiert werden, inwieweit ein Ziel erreicht wurde. Zum Beispiel, um Prioritäten für zusätzliche Anstrengungen zu setzen, wenn die Ziele nicht erreicht werden, oder um Einblicke in Möglichkeiten für eine verbesserte Wirksamkeit zu geben, wenn die Ziele überschritten werden. Es sollte möglich sein, zu verstehen, ob sie erreicht wurden oder nicht, wie die Erreichung der Ziele bestimmt wird und ob es möglich ist, den Grad der Erreichung der Ziele anhand quantitativer Messungen zu bestimmen. Quantitative Beschreibungen der objektiven Erreichung sollten angeben, wie die zugehörige Messung durchgeführt wurde.
Ausrichtung an der Risikolage
Die Ziele der Informationssicherheit sollten an den Erfordernissen der Informationssicherheit ausgerichtet werden. Aus diesem Grund sollten die Risikoeinschätzung und Ergebnisse aus der Risikobehandlung als Input bei der Festlegung von Zielen für die Informationssicherheit angewendet werden.
Kommunikation
Die Ziele der Informationssicherheit ISO 27001 sollten den relevanten internen interessierten Parteien der Organisation mitgeteilt werden. Sie können auch externen interessierten Parteien, z.B. Kunden, Lieferanten, mitgeteilt werden, soweit sie von den Zielen der Informationssicherheit wissen müssen und von ihnen betroffen sind.
Aktualisierung & Planung
Wenn sich die Anforderungen der Informationssicherheit im Laufe der Zeit ändert, sollten die zugehörigen Informationssicherheitsziele entsprechend aktualisiert werden. Ihre Aktualisierung sollte gegebenenfalls den internen und externen interessierten Parteien mitgeteilt werden. Die Organisation sollte planen, wie ihre Ziele für die Informationssicherheit erreicht werden können.
Umsetzungsmechanismen
Die Organisation kann jede Methode oder jeden Mechanismus anwenden, die sie für die Erreichung ihrer Ziele im Rahmen der Informationssicherheit plant. Es kann einen einzelnen Informationssicherheitsplan, einen oder mehrere Projektpläne oder Aktionspläne geben.

Jetzt Erstgespräch vereinbaren

Sie möchten mehr über unsere Leistungen im Bereich Qualitäts- und Informationssicherheitsmanagement erfahren? Vereinbaren Sie ein unverbindliches Erstgespräch – gemeinsam finden wir die passende Lösung für Ihr Unternehmen.

🔍 Beratung ISO 27001 📑 Angebot prüfen 📩 E-Mail schreiben

ISO 27001 & TISAX® Wiki

Ihr zentraler Wissenshub zur Informationssicherheit:

Vorlagen & Checklisten

Nutzen Sie praxisnahe Hilfen für Gap-Analysen, SoA, Risikoregister und Auditplanung.

Guides & Best Practices

Erfahren Sie, wie andere Unternehmen ISO 27001 und TISAX® erfolgreich implementiert haben.

Kontrollen verstehen

Alle 93 Controls der ISO/IEC 27002 erklärt – inklusive Tipps zur praktischen Umsetzung.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel