Suchen

COBIT und Balanced Scorecard einsetzen Kennzahlensysteme zur Messung der Informationssicherheit nutzen

Autor / Redakteur: von Thomas Störtkuhl / Katrin Hofmann

Die Entwicklung eines Kennzahlensystems zur Messung der Reife der implementierten Informationssicherheit von Unternehmen ist komplex aber bewältigbar. Dabei gilt es, das Managementsystem für Informationssicherheit (ISMS) zu beurteilen. Dies erfolgt auf der Grundlage von COBIT und der Balanced Scorecard.

Firma zum Thema

Die Methode der Balanced Scorecard ist nur eine, die die Sicherheit kontrollieren hilft. (© XtravaganT – Fotolia.com)
Die Methode der Balanced Scorecard ist nur eine, die die Sicherheit kontrollieren hilft. (© XtravaganT – Fotolia.com)

Die Steuerung des ISMS kann auf dem Konzept der Balanced Scorecard basieren und sich an den COBIT-Standard anlehnen. Ziel der Methode der Balanced Scorecard ist die Messung der Aktivitäten einer Organisation im Hinblick auf ihre Strategie. Dabei werden neben der Finanzperspektive auch menschliche Aspekte und die Prozesse betrachtet. Die Balanced Scorecard gruppiert diese so genannten „Perspektiven“ – wie Finanzen, Kunden, Prozesse und Mitarbeiter – um die Strategie des Unternehmens herum. Für die Perspektiven sind gemäß des Leitziels einzelne Ziele, Maßnahmen, Kennzahlen und zugehörige Soll-Werte zu definieren. Die Strategie hinsichtlich der Informationssicherheit wird so verständlich und konkret.

COBIT-Standard

Bei Control Objectives for Information and related Technology (COBIT) werden die Geschäftsziele direkt mit IT-Zielen verknüpft. Die Geschäftsziele werden mittels COBIT den „Perspektiven“ der Balanced Scorecard zugeordnet. Den IT-Zielen wiederum werden fest definierte IT-Prozesse zugeordnet. Ein Beispiel: Für die Perspektive „Mitarbeiter“ wird im COBIT als Geschäftsziel die „Einstellung und Entwicklung von qualifizierten und motivierten Mitarbeitern“ angegeben. Diesem Geschäftsziel ist wiederum das IT-Ziel „Einstellung und Entwicklung motivierter Mitarbeiter mit zur IT-Strategie passenden Skills“ zugeordnet.

Zur Erreichung dieses Ziels ist in COBIT unter anderen ein fest definierter Prozess zum Management des IT-Personals vorgesehen. Als eine mögliche Kennzahl wird „Fluktuation beim IT-Personal“ angegeben. Für die Informationssicherheit ergibt sich analog daraus als Ziel „Einstellung und Entwicklung motivierter Mitarbeiter mit passenden Skills zur Umsetzung der Strategie und Ziele der Informationssicherheit“ und als zugehörige Kennzahl „Fluktuation des Personals, das das ISMS betreibt und verantwortet“. Darüber hinaus liefert COBIT Metriken und Reifegradmodelle für die IT-Prozesse. Somit kann ein klares Vorgehen abgeleitet werden, um IT-Ziele, Maßnahmen und Kennzahlen aus den Geschäftszielen abzuleiten. Wenn man das Verfahren für alle in COBIT formulierten Ziele und Prozesse durchläuft, erhält man eine Menge möglicher Kennzahlen. Diese ist im allgemeinen zu groß, um sie überblicken und damit für die Steuerung des ISMS einsetzen zu können. Deshalb sollte ein Satz von etwa zehn Kennzahlen unter anderem nach folgenden Kriterien ausgewählt werden:

  • Die Erhebung der Kennzahl muss mit vertretbarem Aufwand erfolgen können. Man wird solche bevorzugen, die ohnehin schon ermittelt werden oder sich kostengünstig automatisiert erheben lassen.
  • Die Kennzahl sollte möglichst auch dann noch gültig bleiben, wenn beispielsweise die IT-Infrastruktur geändert wurde, um sie über einen längeren Zeitraum nutzen zu können. Trends werden so erkennbar.
  • Der Soll-Wert der Kennzahl muss einfach festlegbar sein. Zum Beispiel ist sofort einsichtig, dass die Zahl der Kundenbeschwerden gegen 0 streben sollte.

Compliance-Nachweis

Aus den Kennzahlen können Informationen generiert werden, die die Geschäftsführung benötigt, um ihren Pflichten bezüglich des Controllings nachzukommen. Kennzahlen wie der „Reifegrad der ISMS-Prozesse“ erlauben beispielsweise eine Aussage über die Compliance zum ISO-27001-Standard. ?

(ID:29370810)