Grundschutz/Kennzahlen
topic - Kurzbeschreibung
Beschreibung
- Kennzahlen
Bewährtes Instrument zur Kommunikation über Erfolge und Probleme
- Indikatoren
Güte
- Sicherheitsprozesses
- Einzelner Sicherheitsaspekte
- Beispiele
Schichten des IT-Grundschutz-Kompendiums
- Technisch
- Organisatorisch
- Kennzahlen zur Informationssicherheit
| Baustein | Bezeichnung | Anforderung | Kennzahl |
|---|---|---|---|
| ISMS.1 | Sicherheitsmanagement | Die Leitungsebene SOLLTE regelmäßig über den Stand der Informationssicherheit informiert werden. | Anzahl der Leitungsmeetings mit Sicherheitsreport / Anzahl aller Leitungsmeetings |
| ORP.2 | Personal | Aufgaben und Zuständigkeiten von Mitarbeitern SOLLTEN in geeigneter Weise dokumentiert sein. | Anzahl der Mitarbeiterverträge mit Verpflichtung zur sicheren Handhabung von Informationen / Anzahl aller Mitarbeiterverträge |
| CON.3 | Datensicherungskonzept | Die Datensicherung und ein möglicherweise vorzunehmender Restore SOLLTEN regelmäßig getestet werden. | Anzahl erfolgreicher Tests / Gesamtzahl der Tests zur Wiederherstellung gesicherter Daten |
| OPS.1.1.2 | Ordnungsgemäße IT-Administration | Die Befugnisse, Aufgaben und Pflichten der -Administratoren SOLLTEN in einer Arbeitsanweisung oder Richtlinie verbindlich festgeschrieben werden. | Anzahl von Arbeitsanweisungen / Anzahl aller Administratoren |
| DER.1 | Detektion von sicherheitsrelevanten Ereignissen | Die gesammelten Ereignismeldungen der -Systeme und Anwendungssysteme SOLLTEN auf einer zentralen Protokollinfrastruktur aufbewahrt werden. | Anzahl zentral gesammelter Ereignismeldungen / Anzahl aller Ereignismeldungen |
| APP.1.1 | Office-Produkte | Neue Office-Produkte SOLLTEN vor dem Einsatz auf Kompatibilität mit etablierten Arbeitsmitteln getestet werden. | Anzahl der eingesetzten getesteten Office-Produkte / Anzahl aller eingesetzten Office-Produkte |
| SYS.1.1 | Allgemeiner Server | Ablauf, Rahmenbedingungen und Anforderungen an administrative Aufgaben sowie die Aufgabentrennungen zwischen den verschiedenen Rollen der Benutzer des -Systems SOLLTEN in einem Benutzer- und Administrationskonzept festgeschrieben werden. | Anzahl von Servern mit detailliertem Administrationskonzept / Anzahl aller Server |
- Vielzahl an Kennzahlen
Diese Beispiele verdeutlichen, dass für eine umfassende Bewertung der Informationssicherheit eine Vielzahl an Kennzahlen nötig ist.
- Erhebung, Berechnung und Aufbereitung der Kennzahlen erfordern unter Umständen einen sehr hohen Aufwand
- wobei technische Kennzahlen oft automatisiert erhoben werden können und
- damit der bei ihnen anfallende Aufwand meist geringer ist als bei organisatorischen Kennzahlen.
- Aufwand
Damit der Aufwand in einem angemessenen Verhältnis zum Ergebnis steht, ist es wichtig, dass die Ziele der Kennzahlen klar formuliert und der erforderliche Aufwand für die Erhebung der Messwerte gut abgeschätzt werden.
- Wenn Sie planen, in Ihrer Institution Kennzahlen zur Informationssicherheit einzuführen, empfiehlt es sich, zunächst mit wenigen Kennzahlen zu starten und diese dann mithilfe der gewonnenen Erfahrungen Schritt für Schritt zu ergänzen.