Zum Inhalt springen

Responsible Supply Chain Initiative (RSCI)

Anfrage
Startseite » Unser Blog » Informationsmanagementsysteme » Ziele der Informationssicherheit ISO 27001

Ziele der Informationssicherheit ISO 27001

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Die Ziele der Informationssicherheit in der ISO 27001 sind darauf ausgerichtet, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Organisationen zu gewährleisten. Die ISO 27001 ist ein internationaler Standard für Informationssicherheitsmanagement, der Unternehmen bei der Identifizierung von Bedrohungen und Risiken für ihre Informationen und IT-Systeme unterstützt und die Implementierung von Maßnahmen zur Risikominimierung und -kontrolle vorschreibt. Die Ziele der ISO 27001 umfassen:

  • Schutz von vertraulichen Informationen:
    Das erste Ziel der ISO 27001 ist der Schutz von vertraulichen Informationen, um sicherzustellen, dass Informationen nur von autorisierten Personen zugänglich sind. Die Implementierung von Kontrollen zur Zugriffsverwaltung, Verschlüsselung und physischen Sicherheit von IT-Systemen kann dazu beitragen, die Vertraulichkeit von Informationen zu gewährleisten.
  • Sicherung der Integrität von Informationen:
    Das zweite Ziel der ISO 27001 ist die Sicherung der Integrität von Informationen, um sicherzustellen, dass Informationen vollständig und korrekt sind und nicht unautorisiert geändert werden können. Die Implementierung von Kontrollen zur Überprüfung von Datenänderungen, zur Datensicherung und -wiederherstellung sowie zur Schulung von Mitarbeitern kann dazu beitragen, die Integrität von Informationen zu gewährleisten.
  • Gewährleistung der Verfügbarkeit von Informationen:
    Das dritte Ziel der ISO 27001 ist die Gewährleistung der Verfügbarkeit von Informationen, um sicherzustellen, dass Informationen bei Bedarf verfügbar sind. Die Implementierung von Kontrollen zur Systemverfügbarkeit, zur Datensicherung und -wiederherstellung sowie zur Notfallvorsorge kann dazu beitragen, die Verfügbarkeit von Informationen zu gewährleisten.
  • Risikomanagement:
    Ein weiteres Ziel der ISO 27001 ist das Risikomanagement, um sicherzustellen, dass Unternehmen die Bedrohungen und Risiken für ihre Informationen und IT-Systeme verstehen und geeignete Maßnahmen zur Risikominimierung und -kontrolle ergreifen. Die Implementierung von Risikobewertungen, Kontrollen zur Risikominimierung und -kontrolle sowie zur Überwachung und Bewertung von Risiken kann dazu beitragen, das Risiko von Datenverlusten und Datenschutzverletzungen zu minimieren.
  • Kontinuierliche Verbesserung:
    Das letzte Ziel der ISO 27001 ist die kontinuierliche Verbesserung des Informationssicherheitsmanagementsystems, um sicherzustellen, dass die Informationssicherheit in der Organisation kontinuierlich verbessert wird. Die Implementierung von internen Audits, regelmäßigen Überprüfungen des Informationssicherheitsmanagementsystems und Verbesserungsvorschlägen kann dazu beitragen, das Informationssicherheitsmanagement kontinuierlich zu verbessern.
ISO 27001 Handbuch - Best Practice

Wir unterstützen kleine und mittlere Unternehmen bei der Einführung der ISO 27001 und TISAX®.

  • Keine versteckte Kosten
  • In 15 Wochen zum Zertifikat
  • Inkl. der Auditvor- und Nachbereitung
  • Zertifizierungsbegleitung
  • Flexibel – Zeitnah – Kompetent

Messbare Ziele in der ISO 27001

Ziele der Informationssicherheit ISO 27001 müssen messbar und praktikabel sein. Das bedeutet, dass es wichtig ist, in der Lage zu sein, zu bewerten, ob ein Ziel erreicht wurde oder nicht. Ferner sollten die Ziele mit den geltenden Anforderungen an die Informationssicherheit übereinstimmen und Ergebnisse aus der Risikoeinschätzung und der Risikobehandlung beinhalten. Die Ziele und deren Ergebnisse müssen als dokumentierte Information vorliegen.

  • Anzahl der erfolgreich abgeschlossenen Risikobewertungen pro Jahr:
    Dieses Ziel misst die Anzahl der Risikobewertungen, die erfolgreich abgeschlossen wurden, um das Risikomanagement des Unternehmens zu verbessern. Unternehmen können dieses Ziel messen, indem sie die Anzahl der abgeschlossenen Risikobewertungen in einem bestimmten Zeitraum zählen.
  • Reduzierung der Anzahl von Sicherheitsvorfällen pro Jahr:
    Dieses Ziel misst die Wirksamkeit der implementierten Informationssicherheitskontrollen, um Sicherheitsvorfälle zu minimieren. Unternehmen können dieses Ziel messen, indem sie die Anzahl der Sicherheitsvorfälle in einem bestimmten Zeitraum vergleichen und sicherstellen, dass sie sich verringert haben.
  • Erhöhung der Anzahl von Mitarbeitern, die im Bereich Informationssicherheit geschult wurden:
    Dieses Ziel misst die Anzahl der Mitarbeiter, die über Informationssicherheit geschult wurden, um sicherzustellen, dass das Bewusstsein für Informationssicherheit im Unternehmen erhöht wird. Unternehmen können dieses Ziel messen, indem sie die Anzahl der geschulten Mitarbeiter in einem bestimmten Zeitraum zählen und sicherstellen, dass sie gestiegen ist.
  • Reduzierung der Dauer von Ausfallzeiten von IT-Systemen:
    Dieses Ziel misst die Wirksamkeit der implementierten IT-Systemverfügbarkeitskontrollen, um Ausfallzeiten von IT-Systemen zu minimieren. Unternehmen können dieses Ziel messen, indem sie die durchschnittliche Dauer von IT-Systemausfällen in einem bestimmten Zeitraum vergleichen und sicherstellen, dass sie sich verringert hat.
  • Erhöhung der Anzahl von internen Audits pro Jahr:
    Dieses Ziel misst die Anzahl der internen Audits, die durchgeführt wurden, um die Wirksamkeit des ISMS zu überprüfen. Unternehmen können dieses Ziel messen, indem sie die Anzahl der durchgeführten internen Audits in einem bestimmten Zeitraum zählen und sicherstellen, dass sie gestiegen ist.
  • Implementierung von Informationssicherheitskontrollen:
    Dieses Ziel legt fest, dass Unternehmen angemessene Informationssicherheitskontrollen implementieren müssen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen sicherzustellen. Die Implementierung von Kontrollen kann dazu beitragen, Bedrohungen und Risiken für die Informationen des Unternehmens zu minimieren und das Risikomanagement zu verbessern.
  • Identifizierung und Bewertung von Risiken:
    Dieses Ziel legt fest, dass Unternehmen Risiken für ihre Informationen und IT-Systeme identifizieren und bewerten müssen, um die Risiken angemessen zu minimieren und zu kontrollieren. Durch die Durchführung von Risikobewertungen können Unternehmen Bedrohungen und Risiken für ihre Informationen identifizieren und geeignete Maßnahmen zur Risikominimierung ergreifen.
  • Sicherheitsvorfälle behandeln:
    Dieses Ziel legt fest, dass Unternehmen geeignete Verfahren zur Behandlung von Sicherheitsvorfällen implementieren müssen, um sicherzustellen, dass Sicherheitsvorfälle effektiv behandelt und behoben werden. Die Implementierung von Verfahren zur Behandlung von Sicherheitsvorfällen kann dazu beitragen, die Auswirkungen von Sicherheitsvorfällen zu minimieren und die Wiederherstellung von Systemen und Informationen zu erleichtern.
  • Kontinuierliche Verbesserung:
    Dieses Ziel legt fest, dass Unternehmen kontinuierlich ihre Informationssicherheitsprozesse und -maßnahmen verbessern müssen, um sicherzustellen, dass das Informationssicherheitsmanagementsystem den sich ständig ändernden Bedrohungen und Risiken gerecht wird. Durch die kontinuierliche Verbesserung können Unternehmen sicherstellen, dass ihre Informationssicherheitsmaßnahmen immer auf dem neuesten Stand sind und den Anforderungen entsprechen.

Diese messbaren Ziele können Unternehmen dabei helfen, ihre Fortschritte bei der Umsetzung ihres ISMS zu messen und zu überwachen. Durch die Festlegung von messbaren Zielen können Unternehmen sicherstellen, dass sie ihre Informationssicherheitsziele erreichen und ihre Informationssicherheit kontinuierlich verbessern.

Planung der Ziele

Die Planung von Zielen in der ISO 27001 erfolgt im Rahmen des Informationssicherheitsmanagementsystems (ISMS) eines Unternehmens. Die ISO 27001 legt fest, dass das ISMS auf einer Risikobewertung basieren muss, die Bedrohungen und Risiken für die Informationen und IT-Systeme des Unternehmens identifiziert und bewertet. Die Ergebnisse der Risikobewertung werden verwendet, um Ziele für die Informationssicherheit festzulegen.

Die Planung von Zielen in der ISO 27001 erfolgt in mehreren Schritten:

  • Identifikation von Informationssicherheitszielen:
    Das Unternehmen identifiziert die Ziele, die es erreichen möchte, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen zu gewährleisten. Die Ziele sollten spezifisch, messbar, erreichbar, relevant und zeitgebunden (SMART) sein.
  • Festlegung von Maßnahmen zur Erreichung der Ziele:
    Das Unternehmen legt die Maßnahmen fest, die erforderlich sind, um die identifizierten Ziele zu erreichen. Diese Maßnahmen sollten auf der Risikobewertung basieren und geeignet sein, um die Bedrohungen und Risiken zu minimieren.
  • Festlegung von Verantwortlichkeiten:
    Das Unternehmen legt die Verantwortlichkeiten für die Umsetzung der Maßnahmen und die Erreichung der Ziele fest. Die Verantwortlichkeiten sollten klar definiert sein, damit jeder im Unternehmen weiß, wer für die Umsetzung der Maßnahmen und die Erreichung der Ziele verantwortlich ist.
  • Überwachung und Bewertung von Zielen:
    Das Unternehmen überwacht und bewertet regelmäßig die Fortschritte bei der Umsetzung der Maßnahmen und der Erreichung der Ziele. Die Überwachung und Bewertung kann durch interne Audits und Überprüfungen des ISMS erfolgen.

Die Planung von Zielen in der ISO 27001 ist ein wichtiger Schritt bei der Implementierung eines effektiven Informationssicherheitsmanagementsystems. Durch die Planung von Zielen können Unternehmen sicherstellen, dass ihre Informationssicherheitsmaßnahmen auf die Bedürfnisse und Bedrohungen ihres Geschäfts abgestimmt sind.

Informationssicherheitsrichtlinie

Die Informationssicherheitsrichtlinie sollte die Ziele für die Informationssicherheit beinhalten oder einen Rahmen für die Festlegung der Ziele bereitstellen. Die Ziele der Informationssicherheit können auf verschiedene Weise ausgedrückt werden. Die Ziele sollten geeignet sein, die Anforderung zu erfüllen, messbar sein ( siehe ISO/IEC 27001:2013, Abschnitt. 6.2 b).

Die Informationssicherheitsrichtlinie legt die Anforderungen für die Informationssicherheit in einer Organisation fest. Alle anderen spezifischen Anforderungen, die für relevante Funktionen und Ebenen festgelegt werden, sollten mit der Richtlinie übereinstimmen. Wenn die Informationssicherheitsrichtlinie Ziele für die Informationssicherheit verfolgt, sollten alle anderen spezifischen Ziele für die Informationssicherheit mit den Zielen in der Informationssicherheitsrichtlinie verknüpft werden. Wenn die Informationssicherheitspolitik nur den Rahmen für die Festlegung von Zielen bietet, sollte dieser Rahmen eingehalten werden und sicherstellen, dass spezifischere Ziele mit den allgemeineren verknüpft werden.

Nicht jedes Ziel kann messbar sein, aber die Messwerte von Zielen unterstützen die Erreichung und Verbesserung. Die Ziele sollten qualitativ oder quantitativ dokumentiert werden, inwieweit ein Ziel erreicht wurde. Zum Beispiel, um Prioritäten für zusätzliche Anstrengungen zu setzen, wenn die Ziele nicht erreicht werden, oder um Einblicke in Möglichkeiten für eine verbesserte Wirksamkeit zu geben, wenn die Ziele überschritten werden. Es sollte möglich sein, zu verstehen, ob sie erreicht wurden oder nicht, wie die Erreichung der Ziele bestimmt wird und ob es möglich ist, den Grad der Erreichung der Ziele anhand quantitativer Messungen zu bestimmen. Quantitative Beschreibungen der objektiven Erreichung sollten angeben, wie die zugehörige Messung durchgeführt wurde.

Die Ziele der Informationssicherheit sollten an den Erfordernissen der Informationssicherheit ausgerichtet werden. Aus diesem Grund sollten die Risikoeinschätzung und Ergebnisse aus der Risikobehandlung als Input bei der Festlegung von Zielen für die Informationssicherheit angewendet werden.

Die Ziele der Informationssicherheit ISO 27001 sollten den relevanten internen interessierten Parteien der Organisation mitgeteilt werden. Sie können auch externen interessierten Parteien, z.B. Kunden, Lieferanten, mitgeteilt werden, soweit sie von den Zielen der Informationssicherheit wissen müssen und von ihnen betroffen sind.

Wenn sich die Anforderungen der Informationssicherheit im Laufe der Zeit ändert, sollten die zugehörigen Informationssicherheitsziele entsprechend aktualisiert werden. Ihre Aktualisierung sollte gegebenenfalls den internen und externen interessierten Parteien mitgeteilt werden. Die Organisation sollte planen, wie ihre Ziele für die Informationssicherheit erreicht werden können.

Die Organisation kann jede Methode oder jeden Mechanismus anwenden, die sie für die Erreichung ihrer Ziele im Rahmen der Informationssicherheit plant. Es kann einen einzelnen Informationssicherheitsplan, einen oder mehrere Projektpläne oder Aktionspläne geben.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner