SNV

Wie misst man die Wirksamkeit von Informationssicherheit?

In Bezug auf die Informationssicherheit kann man nicht vorsichtig genug sein. Der Schutz von Personendaten und vertraulichen Geschäftsinformationen ist von höchster Bedeutung. Aber wie lässt sich beurteilen, ob ein Informationssicherheits-Managementsystem (ISMS) gemäss ISO/IEC 27001 auch tatsächlich wie gewünscht funktioniert? In dieser Hinsicht kann eine neue Internationale ISOISO
International Organization for Standardization
/IEC-Norm hilfreich sein.

Die unlängst erschienene Norm ISO/IEC 27004:2016 «Informationstechnik – Sicherheitsverfahren - Informationssicherheits-Management – Überwachung, Messung, Analyse und Evaluation» dient als Anleitung für die Leistungsbewertung der ISO/IEC 27001. Sie erklärt, wie Messverfahren entwickelt und betrieben werden können, und wie die Ergebnisse einer Reihe von Messgrössen der Informationssicherheit zu bewerten und auszuweisen sind.

Prof. Edward Humphreys, der Convenor, der für die Erarbeitung der Norm zuständigen Arbeitsgruppe (ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
JTC 1/SCSC
Subcommittee
27), erklärt: «Cyberangriffe gehören zu den grössten  Risiken einer Organisation. Deshalb bietet die deutlich verbesserte Fassung der ISO/IEC 27004 eine grundlegende praktische Unterstützung für die vielen Organisationen, die die ISO/IEC 27001 umsetzen, und hilft ihnen dabei, sich vor der wachsenden Vielfalt an Angriffen auf die Sicherheit von Wirtschaftsbetrieben zu schützen.»

Sicherheitsmessgrössen können Einblick in die Wirksamkeit eines ISMS vermitteln und ziehen deswegen grosses Interesse auf sich. Für Ingenieure oder Sicherheitsberater einer Geschäftsführung, die eine gute Informationsgrundlage zur Entscheidungsfindung benötigt, sind Sicherheitsmessgrössen ein wichtiges Instrument für die Darlegung des aktuellen Standes der Cyberrisiken in einer Organisation geworden.

Prof. Humphreys formuliert es so: «Organisationen brauchen Unterstützung in der Frage, ob ihre Investitionen in das Informationssicherheitsmanagement wirksam und darauf ausgerichtet sind, im Rahmen des sich ständig wandelnden Umfelds der Cyberrisiken, stets die richtigen Abwehr- und Reaktionsmechanismen zu haben. Genau in dieser Hinsicht kann die ISO/IEC 27004 zahlreiche Vorteile mit sich bringen.»

Die ISO/IEC 27004:2016 zeigt, wie ein Informationssicherheits-Messprogramm zu konstruieren ist, wie die zu messenden Variablen ausgewählt werden sollen und wie die nötigen Messverfahren durchzuführen sind. Die Norm enthält umfangreiche Beispiele verschiedener Messungsarten und legt dar, wie die Wirksamkeit dieser Messungen zu bewerten ist.

Die ISO/IEC 27004 bringt viele Vorteile wie:

  • erhöhte Rechenschaft
  • bessere Informationssicherheitsleistung und ISMS-Prozesse
  • Belege für die Erfüllung der Anforderungen der ISO/IEC 27001 sowie anwendbarer Gesetze, Bestimmungen und Vorschriften.


Die ISO/IEC 27004:2016 ersetzt die Fassung aus dem Jahr 2009. Es handelt sich um eine aktualisierte und erweiterte Version im Einklang mit der überarbeiteten Fassung der ISO/IEC 27001, die den Organisationen einen grösseren Mehrwert und mehr Vertrauen verschaffen soll.

Die ISO/IEC 27004:2016 ist durch den Unterausschuss SCSC
Subcommittee
27 für Informatiksicherheitsverfahren des gemeinsamen Technischen Komitees ISOISO
International Organization for Standardization
/IECIEC
International Electrotechnical Commission
JTC 1 für Informationstechnologie erarbeitet worden, dessen Sekretariat durch das deutsche ISO-Mitglied DIN geführt wird.

Quelle: ISO News, 2017

Ihre Ansprechpartnerin für weitere Informationen:
Helena Meister, E-Mail: helena.meistersnv.ch, Tel.: +41 52 224 54 17

Diese Norm im SNV Online-Shop bestellen:
ISO/IEC 27004:2016 (in englischer Sprache)

Ihr Mitwirken ist gefragt!
Möchten Sie bei der internationalen Entwicklung von Normen mitwirken? Durch die Teilnahme im Normenkomitee «INBINB
Interdisziplinärer Normenbereich
NKNK
Normen-Komitee
149 InformationstechnologiereichNK
Nor
» bringen Sie Ihre Produkte und Dienstleistungen schneller auf den Markt dank Informationsvorsprung gegenüber Mitbewerbern. Als Komitee-Mitglied treffen Sie andere nationale Branchenexperten und können neue Normenentwürfe mit diesen diskutieren. Zudem haben Sie die Möglichkeit, internationale Kontakte zu knüpfen.

Vorteile einer SNV-Mitgliedschaft: hier klicken!

Ihre Ansprechpartnerin für eine SNV-Mitgliedschaft:
Birgit Kupferschmid, E-Mail: birgit.kupferschmid@snv.ch, Tel.: +41 52 224 54 18