Suchen

Kennzahlensysteme fürs Security Management

Informationssicherheit mit COBIT und Balanced Scorecard messen

Seite: 2/2

Firma zum Thema

Auswahl der Kennzahlen

Wenn man das skizzierte Verfahren für alle in COBIT formulierten Ziele und die zugeordneten Prozesse durchläuft, erhält man eine Menge von möglichen Kennzahlen. Diese Menge ist im Allgemeinen zu groß, um sie überblicken und damit für die Steuerung des ISMS einsetzen zu können. Deshalb sollte ein Satz von etwa 10 Kennzahlen nach folgenden Kriterien als geeignet ausgewählt werden:

  • Kosten: die Erhebung des aktuellen Wertes der Kennzahl muss mit vertretbarem Aufwand erfolgen können. Man wird z.B. Kennzahlen bevorzugen, die bereits ermittelt werden oder deren Ermittlung sich kostengünstig automatisiert durchführen lässt.
  • Unabhängigkeit: die Kennzahl sollte möglichst auch dann noch gültig bleiben, wenn z.B. die IT-Infrastruktur geändert wird. Damit bleibt die Kennzahl über einen längeren Zeitraum (z.B. Jahre) gültig und nutzbar. Trends werden so erkennbar.
  • SOLL-Definition: Der SOLL-Wert der Kennzahl muss sowohl einfach festlegbar, als auch leicht quantifizierbar und somit sofort einsehbar sein. Als Beispiel kann die Zahl der Kundenbeschwerden genommen werden, die gegen den Wert 0 streben sollte.

Ein Beispiel für ein mögliches Kennzahlensystem ist in Abbildung 2 dargestellt. Aus den gezeigten Kennzahlen können Bewertungen und Informationen generiert werden, die die Geschäftsführung benötigt, um ihren Pflichten bzgl. der Steuerung und dem Controlling nachkommen zu können.

Bildergalerie

Außerdem erlauben die Kennzahlen auch eine Aussage zum Reifegrad der ISMS-Prozesse und zu der Vollständigkeit der ISMS-Dokumentation im Sinne einer Compliance nach dem 7001-a-626958/' class='inf-text__link inf-text__keyword'>ISO-27001-Standard. Schließlich kann der Reifegrad des ISMS durch eine (gewichtete) Mittelwertbildung über alle angegebenen Kennzahlen festgelegt werden und man entgeht dem Blindflug.

Fazit

Der vorgestellte Ansatz für die Entwicklung eines Kennzahlensystems zur Steuerung eines Managementsystems für Informationssicherheit basiert auf der Methodik des Balanced Scorecard und lehnt sich an den COBIT Standard an. Folgende Vorteile zeichnen diesen Ansatz aus:

1. Die Ableitung von Zielen und Kennzahlen für das ISMS gewährleistet eine Ausrichtung der Informationssicherheit an den Geschäftszielen.

2. Die Strukturierung nach Perspektiven gemäß der Methodik der Balanced Scorecard garantiert weiter, dass alle wesentlichen Interessengruppen und Themen berücksichtigt werden. Zudem werden die Ziele und Kennzahlen verständlich dargestellt, so dass sie eine Operationalisierung erlauben, d.h. die Mitarbeiter aller Hierarchieebenen können sich an den Zielen orientieren und die Zielerreichung über die Kennzahlen kontrollieren.

3. Ein Kennzahlensystem zur Steuerung des ISMS kann für Unternehmen jeglicher Art und Größe entwickelt werden.

Dr. Thomas Störtkuhl

CISSP

Anwendungssicherheit

Dr. Thomas Störtkuhl ist (ISC)²-zertifizierter CISSP und verantwortet als Teamleiter den Bereich Geschäftsprozess- und Anwendungssicherheit bei der Secaron AG.

(ID:2049587)