Was sind Sicherheitsziele aus Sicht von ISO 27001?

Wer ein Informationssicherheits-Management-System (ISMS) im Unternehmen einführt, muss nicht nur Risiken und gefährdete Werte identifizieren! Man muss auch Sicherheitsziele festlegen und sie mit messbaren Eigenschaften versehen. Die ISO27001 Norm hat folgende 3 elementaren Informationssicherheitsziele festgelegt:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit

Haben wir unsere Sicherheitsziele klar definiert, verständlich dokumentiert, messbar formuliert und der Belegschaft verständlich kommuniziert? Sicherheitsziele werden nur erfüllt, wenn sie im betrieblichen Alltag das Verhalten jeder Person leiten. Die ISO 27001 Norm erwartet von uns, dass im ISMS klare Ziele festgelegt und messbar wiedergegeben werden.

Zum besseren Verständnis kann man diese 3 Ziele wie folgt definieren:

Sicherheitsziel - Vertraulichkeit

Unser Ziel ist es die Vertraulichkeit der Daten unserer Kunden, Partner, Lieferanten, Mitarbeiter und Unternehmens zu schützen. Dieses Ziel machen wir messbar durch eine Kennziffer: „Wenn ein Vorfall maximal 1x pro Jahr vorkommet, haben wir unser Ziel erreicht“

Sicherheitsziele erfüllt oder Risiken verschlafen

Sicherheitsziel - Integrität

Wir wollen sicher stellen, dass die Integrität der gespeicherten Daten sicher gestellt ist. Wir können es durch eine Kennzahl messbar werden lassen: „Wenn kein Kunde sich über die in unserem RZ gespeicherten Daten beschwert, haben wir unser Ziel der Datenintegrität erfüllt.“ 

Sicherheitsziel - Verfügbarkeit

Wir wollen gewährleisten eine Verfügbarkeit unserer Systeme in Höhe von 99.9%, damit unsere Kunden jederzeit auf ihre Systeme und Daten zugreifen können. Folgende Kennzahl können wir festlegen: „Wenn in unserem Ticketsystem wir max. 1 in 1000 Systemen einen Systemausfall dokumentieren, und es schaffen binnen 2 Stunden die Verfügbarkeit wieder herzustellen, haben wir unser ziel erreicht.“