Wie misst man die Wirksamkeit von Informationssicherheit?
In Bezug auf die Informationssicherheit kann man nicht vorsichtig genug sein. Der Schutz von Personendaten und vertraulichen Geschäftsinformationen ist von höchster Bedeutung. Aber wie lässt sich beurteilen, ob ein Informationssicherheits-Managementsystem (ISMS) gemäss ISO/IEC 27001 auch tatsächlich wie gewünscht funktioniert? In dieser Hinsicht kann eine neue Internationale ISO/IEC-Norm hilfreich sein.

Die unlängst erschienene Norm ISO/IEC 27004:2016 «Informationstechnik – Sicherheitsverfahren - Informationssicherheits-Management – Überwachung, Messung, Analyse und Evaluation» dient als Anleitung für die Leistungsbewertung der ISO/IEC 27001. Sie erklärt, wie Messverfahren entwickelt und betrieben werden können, und wie die Ergebnisse einer Reihe von Messgrössen der Informationssicherheit zu bewerten und auszuweisen sind.
Prof. Edward Humphreys, der Convenor, der für die Erarbeitung der Norm zuständigen Arbeitsgruppe (ISO/IEC JTC 1/SC 27), erklärt: «Cyberangriffe gehören zu den grössten Risiken einer Organisation. Deshalb bietet die deutlich verbesserte Fassung der ISO/IEC 27004 eine grundlegende praktische Unterstützung für die vielen Organisationen, die die ISO/IEC 27001 umsetzen, und hilft ihnen dabei, sich vor der wachsenden Vielfalt an Angriffen auf die Sicherheit von Wirtschaftsbetrieben zu schützen.»
Sicherheitsmessgrössen können Einblick in die Wirksamkeit eines ISMS vermitteln und ziehen deswegen grosses Interesse auf sich. Für Ingenieure oder Sicherheitsberater einer Geschäftsführung, die eine gute Informationsgrundlage zur Entscheidungsfindung benötigt, sind Sicherheitsmessgrössen ein wichtiges Instrument für die Darlegung des aktuellen Standes der Cyberrisiken in einer Organisation geworden.
Prof. Humphreys formuliert es so: «Organisationen brauchen Unterstützung in der Frage, ob ihre Investitionen in das Informationssicherheitsmanagement wirksam und darauf ausgerichtet sind, im Rahmen des sich ständig wandelnden Umfelds der Cyberrisiken, stets die richtigen Abwehr- und Reaktionsmechanismen zu haben. Genau in dieser Hinsicht kann die ISO/IEC 27004 zahlreiche Vorteile mit sich bringen.»
Die ISO/IEC 27004:2016 zeigt, wie ein Informationssicherheits-Messprogramm zu konstruieren ist, wie die zu messenden Variablen ausgewählt werden sollen und wie die nötigen Messverfahren durchzuführen sind. Die Norm enthält umfangreiche Beispiele verschiedener Messungsarten und legt dar, wie die Wirksamkeit dieser Messungen zu bewerten ist.
Die ISO/IEC 27004 bringt viele Vorteile wie: • erhöhte Rechenschaft • bessere Informationssicherheitsleistung und ISMS-Prozesse • Belege für die Erfüllung der Anforderungen der ISO/IEC 27001 sowie anwendbarer Gesetze, Bestimmungen und Vorschriften.
Die ISO/IEC 27004:2016 ersetzt die Fassung aus dem Jahr 2009. Es handelt sich um eine aktualisierte und erweiterte Version im Einklang mit der überarbeiteten Fassung der ISO/IEC 27001, die den Organisationen einen grösseren Mehrwert und mehr Vertrauen verschaffen soll.
Die ISO/IEC 27004:2016 ist durch den Unterausschuss SC 27 für Informatiksicherheitsverfahren des gemeinsamen Technischen Komitees ISO/IEC JTC 1 für Informationstechnologie erarbeitet worden, dessen Sekretariat durch das deutsche ISO-Mitglied DIN geführt wird.
Quelle: ISO News, 2017
Ihre Ansprechpartnerin für weitere Informationen: Helena Meister, E-Mail: helena.meister@snv.ch, Tel.: +41 52 224 54 17
Diese Norm im SNV Online-Shop bestellen: ISO/IEC 27004:2016 (in englischer Sprache)
Ihr Mitwirken ist gefragt! Möchten Sie bei der internationalen Entwicklung von Normen mitwirken? Durch die Teilnahme im Normenkomitee «INB NK 149 Informationstechnologie» bringen Sie Ihre Produkte und Dienstleistungen schneller auf den Markt dank Informationsvorsprung gegenüber Mitbewerbern. Als Komitee-Mitglied treffen Sie andere nationale Branchenexperten und können neue Normenentwürfe mit diesen diskutieren. Zudem haben Sie die Möglichkeit, internationale Kontakte zu knüpfen.
Vorteile einer SNV-Mitgliedschaft: hier klicken!
Ihre Ansprechpartnerin für eine SNV-Mitgliedschaft: Birgit Kupferschmid, E-Mail: birgit.kupferschmid@snv.ch, Tel.: +41 52 224 54 18
Über die SNV
Die SNV ist eine zukunftsorientierte Informationsdienstleisterin. Sie handelt zum Nutzen der Schweizer Wirtschaft und Gesellschaft und vertritt deren Interessen.
Die Schweizerische Normen-Vereinigung (SNV) ist die direkte Vertreterin der weltweiten Normung (über ISO) und der europäischen Normung (über CEN) in der Schweiz und ist Drehscheibe in zahlreichen weiteren nationalen und internationalen Normennetzwerken.
So übernimmt die SNV eine wichtige Brückenfunktion zwischen den Normungsexperten und den Normen- anwendern.
Die SNV
fördert Selbstregulierung: Die Hauptaufgabe der SNV ist die Normung. Schweizerische, europäische und internationale Normen werden in direkter Zusammenarbeit mit den Anwendern erarbeitet. So wird gewährleistet, dass die Richtlinien dauerhaft Nutzen generieren. Unnötige Regelungen werden abgeschafft und unsinnige verhindert. Dieser für alle zugängliche Normungsprozess eignet sich für Anliegen aus dem Gebiet der Technik und der Dienstleistungen.
wendet definierte Prozesse flexibel und kundenorientiert an: Professionelle Normung ist an international anerkannte Prozesse gebunden. Selbstregulation kann nur als sinnvolle Ergänzung zur Gesetzgebung dienen, wenn diese Prozesse eingehalten werden. Der Umfang mit diesen Strukturen erfordert Kompetenz und Erfahrung. Diese Fähigkeiten stellt die SNV der Schweizer Wirtschaft und Gesellschaft zur Verfügung.
fördert Information und Unterstützung: Die SNV hilft Ihnen, sich im Dschungel der Gesetze, Verordnungen und Richtlinien zurechtzufinden. Ein klares Verständnis der weltweit vorhandenen Anforderungen an marktkonforme Produkte und Dienstleistungen soll gefördert werden.
|