Infor­ma­ti­ons­si­cher­heit: Die Top 7 ISMS KPI nach dem KISS Prinzip

#1 Abde­ckungs­grad der Secu­ri­ty Awa­re­ness Schulungen

Da Phis­hing und Social Engi­nee­ring zu den gefähr­lichs­ten Cyber­be­dro­hun­gen zäh­len, ist es wich­tig, dass alle Mit­ar­bei­te­rIn­nen regel­mä­ßig im Bereich Infor­ma­ti­ons­si­cher­heit sen­si­bi­li­siert wer­den und alle gül­ti­gen Info­Sec Vor­ga­ben des Unter­neh­mens kennen.

#2 Back­up aller IT-Systeme

Back­ups sind eine essen­zi­el­le Sicher­heits­maß­nah­me für IT-Sys­te­me. Ohne sie kann ein Daten­ver­lust schwer­wie­gen­de finan­zi­el­le und betrieb­li­che Fol­gen haben. Mit die­ser KPI wird gemes­sen ob alle IT-Sys­te­me, IT-Diens­te. Daten­be­stän­de — egal ob OnPrem, im Rechen­zen­trum oder in der Cloud — regel­mä­ßig gesi­chert werden.

#3 Sicher­heits­vor­fäl­le durch mensch­li­che Fehler

Sicher­heits­vor­fäl­le durch mensch­li­che Feh­ler kön­nen zwar nie voll­stän­dig aus­ge­schlos­sen, aber durch ver­schie­de­ne Maß­nah­men wie Awa­re­ness-Schu­lun­gen, kla­re Sicher­heits­richt­li­ni­en und eine posi­ti­ve Feh­ler­kul­tur mit Mel­de­we­sen erheb­lich redu­ziert werden.

#4 Effek­ti­vi­tät beim Patch-Management

Alle IT-Sys­te­me wer­den gepatcht und es gibt kei­ne offe­nen Schwach­stel­len durch ver­wund­ba­re Software

#5 Ein­hal­tung der SLA von IT-Diensten

Die im IT-Ser­vice-Manage­ment defi­nier­ten Ser­vice Level Agree­ments (SLA) spe­zi­ell in Bezug auf Ver­füg­bar­keit und Betriebs­sta­bi­li­tät der selbst betrie­be­nen IT-Diens­te wer­den gemes­sen und die Ein­hal­tung der SLAs in einem Quar­tal wird als KPI erfasst.

#6 Aktua­li­tät der Info­Sec Richt­li­ni­en und Dokumentationen

Aktu­el­le und ver­öf­fent­lich­te Infor­ma­ti­ons­si­cher­heits-Richt­li­ni­en sind essen­zi­ell, um ein Unter­neh­men vor Cyber­be­dro­hun­gen zu schüt­zen, gesetz­li­che Anfor­de­run­gen zu erfül­len und kla­re Sicher­heits­stan­dards für alle Mit­ar­bei­ter zu set­zen. Der ISB/CISO pflegt eine Lis­te der ISMS Doku­men­ta­tio­nen und ist ver­pflich­tet die­se aktu­ell zu hal­ten und rele­van­te Doku­men­te an die inter­es­sier­ten Par­ten zu veröffentlichen.

#7 Audit Fest­stel­lun­gen wer­den frist­ge­recht behoben

Es ist wich­tig, dass Audit­fest­stel­lun­gen frist­ge­recht beho­ben wer­den, weil sie oft Sicher­heits­lü­cken, Com­pli­ance-Ver­stö­ße oder betrieb­li­che Risi­ken auf­de­cken. Eine schnel­le Behe­bung stellt sicher, dass das Unter­neh­men recht­li­che, finan­zi­el­le und sicher­heits­re­le­van­te Risi­ken mini­miert. Die KPI misst, ob Fest­stel­lun­gen und Schwach­stel­len gemäß ihrer Schwe­re bewer­tet sind und mit der nöti­gen Prio­ri­tät ver­se­hen, frist­ge­recht geschlos­sen werden.