Neue ISO 27004:
Impulse in Richtung Kennzahlenkultur

Messbare Ergebnisse fördern steigendes Bewusstsein
für Informationssicherheit im Unternehmen

(Jan 2010) - Die neue Norm „ISO/IEC 27004 - … Measurement“ setzt Impulse für die Entwicklung einer Kennzahlenkultur im Bereich Informationssicherheit. Bisher standen Messmethoden weniger im Mittelpunkt. Mit der im Dezember 2009 veröffentlichten Subnorm zu dem internationalen Zertifizierungsstandard ISO/IEC 27001 erhalten Unternehmen nun einen detaillierten Leitfaden für quantitative Erfolgskontrollen und Berichte in der Informationssicherheit. Damit soll laut Norm der systematische Verbesserungsprozess noch wirksamer und fokussierter werden.

ISO 27004 umfasst folgende Inhalte:

@

  1. Information security measurement overview;
  2. Management responsibilities;
  3. Measures and measurement development;
  4. Measurement operation;
  5. Data analysis and measurement results reporting;
  6. Information Security Measurement Program evaluation and improvement.
    Anhang A: liefert eine Vorlage für eine Metrik-Struktur
    Anhang B: bietet Beispielanwendungen für die Metrik-Struktur

Der Standard gibt detaillierten Einblick in Messmethoden, beschreibt die Erhebung von Basismaßen und wie mittels mathematischer Formeln abgeleitete Maße generiert werden. Ebenso wie mit Analysetechniken und Entscheidungskriterien aussagekräftige Indikatoren für Informationssicherheit geschaffen werden.

Methode oder „Bauchgefühl“

„Insgesamt ist der Standard sehr methodisch und nicht für die Eins-zu-Eins-Umsetzung konzipiert.@ Unternehmen profitieren, wenn sie Inhalte selektiv anwenden. Es empfiehlt sich mit einigen ausgesuchten Kennzahlen zu beginnen“, meint CIS-Auditor Dipl.-Ing. Herfried Geyer, der ISO 27004 bereits als fixen Bestandteil in den CIS-Refresher-Kurs für IS-Manager und IS-Auditoren integriert hat. Teilweise lehnt sich der Inhalt der ISO 27004 an dem US-amerikanischen Gegenstück NIST SP 800-55 an, der allerdings weniger tief in das Methodische hineingeht und mehr Raum für qualitative Bewertungen gibt. „NIST SP 800-55 lässt sich auch gut mit ISO 27001 sowie ISO 27004 kombinieren und gilt bei Anwendern salopp formuliert als praktikable Funktionalisierung des Bauchgefühls“, erklärt Herfried Geyer.

Grundlegende Forderungen der ISO 27001 wie Monitoring der Sicherheitsmaßnahmen (Punkt 4.2.3), die Dokumentation von Messmethoden (4.3.1) oder die Evaluierung durchgeführter Schulungsmaßnahmen (5.2.2) werden mittels Kennzahlenerhebung nach ISO 27004 erfüllt. Welche Arten von Kennzahlen sinnvollerweise erhoben werden sollten, überlässt die Norm dem Anwender. Möglichkeiten wären – je nach Policies und Situation – zum Beispiel:

  • Kundenstammdaten-Integrität: Beschwerden in Prozent, Newsletter-Rückläufer in Prozent
  • Schulungserfolg: Mitarbeiter in Awareness-Programmen in Prozent, Verständnis über vermittelte Inhalte in Prozent
  • Third-Party-Agreements: Lieferanten-Anteil mit IS-relevantem Zuliefervertrag, Einhaltung/Nicht-Einhaltung
  • Account Control: Fehlerquote bei User Accounts
  • Sicherheitsvorfälle: Anzahl/Rückgang pro Jahr (Klassifizierung der Fälle nach ISO 27001)

Kennzahlen machen IS zum ganzheitlichen Erfolgsfaktor

„Mit der Erhebung von Kennzahlen wird auch für andere Abteilungen sichtbar, zu welch hohem Grad die Informationssicherheit alle Bereiche des Unternehmens durchdringt“, so Herfried Geyer. Das dürfte künftig zu einem steigenden Ansehen von IS-Anforderungen und IS-Verantwortlichen sowohl im Management als auch bei den Mitarbeitern führen. Die „IT-lastige“ Informationssicherheit kann damit in den Augen der Mitarbeiter mehr und mehr zu einem ganzheitlichen Anliegen werden, das maßgeblich zum Unternehmenserfolg beiträgt.


Zum Newsletter-Kommentar:
Erfolgsmessung in der Praxis: Kennzahlen und Indikatoren für ISMS





CIS - Certification & Information
Security Services GmbH
A-1010 Wien, Gonzagagasse 1/25
T: (+43)-1-532 98 90
F: (+43)-1-532 98 90-9
e-mail: office@cis-cert.com
Internet: www.cis-cert.com