Sicherheitsziele (6.2)
Anforderungen (Klauseln 4–10)
Klausel 6.2 – Informationssicherheitsziele
Ein ISMS braucht eine Richtung. Klausel 6.2 verlangt, dass die Organisation auf relevanten Funktionen und Ebenen Informationssicherheitsziele festlegt. Sie übersetzen die abstrakte Politik in konkrete, überprüfbare Vorgaben.
Was die Norm fordert
Die Ziele müssen:
- im Einklang mit der Informationssicherheitspolitik stehen;
- messbar sein (soweit praktikabel);
- relevante Anforderungen und Ergebnisse der Risikobeurteilung berücksichtigen;
- überwacht, kommuniziert und aktualisiert werden;
- als dokumentierte Information vorliegen.
Wie planen? (die W-Fragen)
Für jedes Ziel verlangt die Norm einen Plan mit fünf Bestandteilen:
| Frage | Bedeutung |
|---|---|
| Was wird getan? | konkrete Maßnahme/Aktivität |
| Welche Ressourcen? | Budget, Personal, Tools |
| Wer ist verantwortlich? | klare Zuständigkeit |
| Wann fertig? | Termin/Frist |
| Wie bewertet? | Erfolgskriterium/Kennzahl |
SMARTe Ziele statt Worthülsen
„Wir wollen sicherer werden" ist kein Ziel. Gute Ziele sind SMART (spezifisch, messbar, attraktiv, realistisch, terminiert):
Schlecht: "Mitarbeiter sollen für Phishing sensibilisiert sein."
Gut: "Bis Q4 absolvieren 95 % der Mitarbeitenden das Security-
Awareness-Training; die Klickrate im Phishing-Test sinkt
von 18 % auf unter 8 %."
Ziele und Kennzahlen
Messbare Ziele brauchen Kennzahlen (KPIs) – etwa Patch-Quote, Zeit bis zur Vorfallbehebung oder Anteil geschulter Mitarbeitender. Diese werden in Klausel 9 überwacht und im Management-Review bewertet. Methodik dazu liefert ISO/IEC 27004.
Welche Eigenschaft sollen Informationssicherheitsziele laut 6.2 besitzen?