Unser OnePager April 2021 zum Download - Beratung TISAX®

Ziele der Informationssicherheit ISO 27001

Ziele der Informationssicherheit ISO 27001 müssen messbar und praktikabel sein. Das bedeutet, dass es wichtig ist, in der Lage zu sein, zu bewerten, ob ein Ziel erreicht wurde oder nicht. Ferner sollten die Ziele mit den geltenden Anforderungen an die Informationssicherheit übereinstimmen und Ergebnisse aus der Risikoeinschätzung und der Risikobehandlung beinhalten. Die Ziele und deren Ergebnisse müssen als dokumentierte Information vorliegen.

Planung der Ziele

Bei der Planung, wie die Ziele der Informationssicherheit ISO 27001 erreicht werden können, muss die Organisation bestimmen:

  • was getan wird,
  • welche Mittel benötigt werden,
  • wer verantwortlich ist,
  • wenn sie abgeschlossen sind, und 
  • wie die Ergebnisse ausgewertet werden

Die Informationssicherheitsrichtlinie sollte die Ziele für die Informationssicherheit angeben oder einen Rahmen für die Festlegung der Ziele bereitstellen. Die Ziele der Informationssicherheit können auf verschiedene Weise ausgedrückt werden. Die Ziele sollten geeignet sein, die Anforderung zu erfüllen, messbar sein ( siehe ISO/IEC 27001:2013, Abschnitt. 6.2 b).

Informationssicherheitsrichtlinie

Die Informationssicherheitsrichtlinie legt die Anforderungen für die Informationssicherheit in einer Organisation fest. Alle anderen spezifischen Anforderungen, die für relevante Funktionen und Ebenen festgelegt werden, sollten mit der Richtlinie übereinstimmen. Wenn die Informationssicherheitsrichtlinie Ziele für die Informationssicherheit verfolgt, sollten alle anderen spezifischen Ziele für die Informationssicherheit mit den Zielen in der Informationssicherheitsrichtlinie verknüpft werden. Wenn die Informationssicherheitspolitik nur den Rahmen für die Festlegung von Zielen bietet, sollte dieser Rahmen eingehalten werden und sicherstellen, dass spezifischere Ziele mit den allgemeineren verknüpft werden.

Nicht jedes Ziel kann messbar sein, aber die Messwerte von Zielen unterstützen die Erreichung und Verbesserung. Die Ziele sollten qualitativ oder quantitativ dokumentiert werden, inwieweit ein Ziel erreicht wurde. Zum Beispiel, um Prioritäten für zusätzliche Anstrengungen zu setzen, wenn die Ziele nicht erreicht werden, oder um Einblicke in Möglichkeiten für eine verbesserte Wirksamkeit zu geben, wenn die Ziele überschritten werden. Es sollte möglich sein, zu verstehen, ob sie erreicht wurden oder nicht, wie die Erreichung der Ziele bestimmt wird und ob es möglich ist, den Grad der Erreichung der Ziele anhand quantitativer Messungen zu bestimmen. Quantitative Beschreibungen der objektiven Erreichung sollten angeben, wie die zugehörige Messung durchgeführt wurde.

Die Ziele der Informationssicherheit sollten an den Erfordernissen der Informationssicherheit ausgerichtet werden. Aus diesem Grund sollten die Risikoeinschätzung und Ergebnisse aus der Risikobehandlung als Input bei der Festlegung von Zielen für die Informationssicherheit angewendet werden.

Die Ziele der Informationssicherheit ISO 27001 sollten den relevanten internen interessierten Parteien der Organisation mitgeteilt werden. Sie können auch externen interessierten Parteien, z.B. Kunden, Lieferanten, mitgeteilt werden, soweit sie von den Zielen der Informationssicherheit wissen müssen und von ihnen betroffen sind.

Wenn sich die Anforderungen der Informationssicherheit im Laufe der Zeit ändert, sollten die zugehörigen Informationssicherheitsziele entsprechend aktualisiert werden. Ihre Aktualisierung sollte gegebenenfalls den internen und externen interessierten Parteien mitgeteilt werden. Die Organisation sollte planen, wie ihre Ziele für die Informationssicherheit erreicht werden können.

Die Organisation kann jede Methode oder jeden Mechanismus anwenden, die sie für die Erreichung ihrer Ziele im Rahmen der Informationssicherheit plant. Es kann einen einzelnen Informationssicherheitsplan, einen oder mehrere Projektpläne oder Aktionspläne geben.

nv-author-image

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB IntegrationsModell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität

Schlagwörter: