Informationssicherheitsmanagement - ISM Ablauf - Versionsgeschichte

JUNGBAUER Christoph am 20. Jänner 2022 um 08:26 Uhr

2022-01-20T08:26:54Z

← Nächstältere Version		Version vom 20. Jänner 2022, 08:26 Uhr
Zeile 391:		Zeile 391:
	# Nennen Sie mögliche Stolpersteine beim Information Security Program Management!		# Nennen Sie mögliche Stolpersteine beim Information Security Program Management!
	# Welchen Problemen sehen Sie sich allgemein bei der Selbsteinschätzung einer Situation im Unternehmen gegenüber?		# Welchen Problemen sehen Sie sich allgemein bei der Selbsteinschätzung einer Situation im Unternehmen gegenüber?

			<br><hr><br>
			#''Welchen Ansatz verfolgen Sie bei der Einführung von Information Security Governance und welche Aktivitäten führen Sie durch?''
			#:Es wird ein konsequenter Top-Down-Ansatz verfolgt. Die Aktivitäten sind: Angestrebten Security Status formulieren, Aktuellen Security Status bestimmen, Information Security Strategie entwickeln, Gap Analyse durchführen, Aktionsplan festlegen.
			#''Skizzieren Sie die Aktivitäten bei der Entwicklung eines Information Security Programs!''
			#:* Information Security Program strukturieren
			#:* Policy und Standard Compliance sicherstellen
			#:* Training und Schulung initiieren
			#:* Steuerungsaktivitäten (Controls) planen
			#:* Lebenszyklusintegration gewährleisten
			#''Erklären Sie, was bei der Einbeziehung von Third Party Service Provider in Hinblick auf die Informationssicherheit beachtet werden muss?''
			#:Für den Fall, dass Unternehmensfunktionen an Dritte ausgelagert wurden, gelten spezielle Implikationen für Information Security. Unterschiedliche Organisationsformen und Sourcing-Modelle erfordern unterschiedliche Sicherheitsaspekte. Verantwortung, gerade für Informationssicherheit, müssen klar definiert werden und formale Abläufe müssen unbedingt eingehalten werden. Zugriffe auf Daten und Informationen des jeweils anderen Partners sind schon aufgrund der Service-Aufgabe unumgänglich. Daher muss auf Basis des Lebenszyklus der Daten bestimmt werden, wem sie gehören, wer sie verändern, löschen, erweitern, wer auf sie wann zugreifen darf. Übergabepunkte, Voraussetzungen, Qualitätsmindestmaßstäbe, eingesetzte Ressourcen, Service Level Agreements, Reporting und auch Audits schaffen die notwendigen Voraussetzungen für die Etablierung eines Checks- and-Balances-Systems. Jedenfalls gelten differenzierte Sicherheitsaspekte bei unterschiedlichen Organisationsformen und Partnerschaftsmodellen, die zu berücksichtigen, vertraglich festzuschreiben und regelmäßig zu auditieren sind.
			#''Was ist bei einer Outsourcing-Situation für den Information Security Manager zu beachten?''
			#:Zusammenarbeit mit dem Dienstleister betrachten. Der Verlust von Skills, Wissen, Transparenz von Abläufen, die veränderte formalisierte Zusammenarbeit, Kostenverrechnung, aber auch kulturelle und ethische Unterschiede müssen behandelt werden. Hinzu kommt die Kompatibilität des Internen Kontrollsystems (IKS) des Partners mit den eigenen Steuerungsaktivitäten. Information Security hat eine End-to-End-Sicht und muss auch die durch Unternehmensgrenzen gekennzeichnet. Die Handhabung der Information soll jederzeit nachgewiesen werden können. Der Outsourcingpartner muss gesteuert und gemessen und im Sinne des Kunden seine Services weiterentwickeln. Das ist allerdings nur möglich, wenn bereits bei der Vertragsgestaltung –neben SLA-Bestimmungen und rechtlichen Regelungen – im Rahmen von Information Security dem Kunden das Recht eingeräumt wird, die Abläufe und Steuerungsaktivitäten zu auditieren, dem Dienstleister bestimmte Vorgaben hinsichtlich der Informationshandhabung (Klassifizierung, Zugriff, Veränderung, Datenschutz, Löschung) auferlegt werden.
			#''Nennen Sie mögliche Stolpersteine beim Information Security Program Management!''
			#:Fehlender Management-Support, unangemessene finanzielle Rahmenbedingungen, ineffizienter Personaleinsatz, politische Strömungen.
			#''Welchen Problemen sehen Sie sich allgemein bei der Selbsteinschätzung einer Situation im Unternehmen gegenüber?''
			#:Siehe dazu Aufzählungsliste im Kapitel

KLAUSNER Daniela am 13. Jänner 2022 um 19:08 Uhr

2022-01-13T19:08:10Z

← Nächstältere Version		Version vom 13. Jänner 2022, 19:08 Uhr
Zeile 279:		Zeile 279:
	==== Akkreditierung und Zertifizierung ====		==== Akkreditierung und Zertifizierung ====

	Eine andere Form der Messung stellen Akkreditierungen und Zertifizierungen dar. Dies sind eigentlich simple regelmäßig wiederkehrende Überprüfungen einer vorgegebenen (oder gewählten) Baseline und werden mit einer Art Gütesiegel bestätigt. Je nach Form wird Compliance zu einer Baseline akkreditiert (für spätere ~~Auditoren~~) oder zertifiziert (für reine ~~Kunden~~). Welche Baseline oder vorgegebenes Framework dafür angewendet wird, bleibt frei wählbar. Beispielsweise ist die fälschlicherweise landläufig als Zertifizierung bezeichnete ISAE3402-Prüfung durch ihren wiederkehrenden Überprüfungscharakter, ~~den~~ angewendeten Framework, etwa COBIT, und dem Abschlussbericht durchaus in der Praxis als Zertifikat interpretierbar [CIS10, S179]		Eine andere Form der Messung stellen Akkreditierungen und Zertifizierungen dar. Dies sind eigentlich simple regelmäßig wiederkehrende Überprüfungen einer vorgegebenen (oder gewählten) Baseline und werden mit einer Art Gütesiegel bestätigt. Je nach Form wird Compliance zu einer Baseline akkreditiert (für spätere Auditorinnen) oder zertifiziert (für reine Kundinnen). Welche Baseline oder vorgegebenes Framework dafür angewendet wird, bleibt frei wählbar. Beispielsweise ist die fälschlicherweise landläufig als Zertifizierung bezeichnete ISAE3402-Prüfung durch ihren wiederkehrenden Überprüfungscharakter, dem angewendeten Framework, etwa COBIT, und dem Abschlussbericht durchaus in der Praxis als Zertifikat interpretierbar [CIS10, S179].

	Ein oftmals unterschätzter Aspekt ist die Messbarkeit des Erfolges des Information Security Programs. Jede Aktivität, jede Initiative, jeder Aufwand muss in irgendeiner Form gemessen und bewertet werden können, sodass man Argumente für eine Rechtfertigung, eine Ausweitung oder eine Optimierung erhält. Man sollte sich bereits bei der Entwicklung der Strukturen in einem frühen Stadium über Messbarkeit, mögliche Metriken, MAP-Strukturen und der Gewinnung von Messwerten Gedanken machen, um umfassend und möglichst objektiv Qualitätsmesskriterien für Erfolg oder Misserfolg, dem Erreichen oder Verfehlen der zuvor gesetzten Ziele herauszukristallisieren. ~~Der~~ Information Security Manager wird dies in den meisten Fällen gegenüber dem Security Steering Committee oder dem Management des Unternehmens tun. Dabei helfen quantitative und qualitative Messmethoden und man kann auf bekannte Konzepte, wie CMMI, BSC, Six Sigma oder andere hilfreiche Informationen aus bekannten Frameworks zurückgreifen. Bei Information Security Management gibt es grundsätzliche übliche Zielsetzungen, die folgend besprochen werden [CIS10, S207].		Ein oftmals unterschätzter Aspekt ist die Messbarkeit des Erfolges des Information Security Programs. Jede Aktivität, jede Initiative, jeder Aufwand muss in irgendeiner Form gemessen und bewertet werden können, sodass man Argumente für eine Rechtfertigung, eine Ausweitung oder eine Optimierung erhält. Man sollte sich bereits bei der Entwicklung der Strukturen in einem frühen Stadium über Messbarkeit, mögliche Metriken, MAP-Strukturen und der Gewinnung von Messwerten Gedanken machen, um umfassend und möglichst objektiv Qualitätsmesskriterien für Erfolg oder Misserfolg, dem Erreichen oder Verfehlen der zuvor gesetzten Ziele herauszukristallisieren. Die/der Information Security Manager*in wird dies in den meisten Fällen gegenüber dem Security Steering Committee oder dem Management des Unternehmens tun. Dabei helfen quantitative und qualitative Messmethoden und man kann auf bekannte Konzepte, wie CMMI, BSC, Six Sigma oder andere hilfreiche Informationen aus bekannten Frameworks zurückgreifen. Bei Information Security Management gibt es grundsätzliche übliche Zielsetzungen, die folgend besprochen werden [CIS10, S207].

	'''Risiko und Verlust'''		'''Risiko und Verlust'''
Zeile 293:		Zeile 293:
	* Anzahl der betroffenen Systeme		* Anzahl der betroffenen Systeme
	* Anzahl der durch externe Ausnützung der Schwachstelle betroffenen Systeme		* Anzahl der durch externe Ausnützung der Schwachstelle betroffenen Systeme
	* Anzahl der Schwachstellen mit ~~signifikanten~~ weiter reichenden Schadenspotential		* Anzahl der Schwachstellen mit signifikantem weiter reichenden Schadenspotential
	* Anzahl der bestehenden Risiken mit Klassifizierung hoch/mittel/niedrig inkl. ALE		* Anzahl der bestehenden Risiken mit Klassifizierung hoch/mittel/niedrig inkl. ALE
	* Anzahl der bereinigten Risiken		* Anzahl der bereinigten Risiken
Zeile 327:		Zeile 327:
	'''Operative Produktivität'''		'''Operative Produktivität'''

	Die Maximierung der operativen Produktivität der eingesetzten Ressourcen ist ein Ziel des Information Security ~~Managers~~. Produktivität ist hier zu verstehen als Arbeitsprodukt einer Ressource, welche nicht immer der Mensch sein muss. Effizienzsteigerungen können über Automatisierungen, Outsourcing von niedrig priorisierten operativen Tätigkeiten oder Verlagerung von Tätigkeiten an andere Organisationseinheiten erreicht werden. Die eingesetzten Security Technologien helfen bei einem regelmäßigen Einsatz die Produktivität zu steigern, etwa Vulnerability Scanning Tools oder Intrusion Detection Systems (IDS). Manuelle Analysen sind hier aufgrund der Fülle von Systemen und Ansatzpunkten schlichtweg unmöglich. Hier wird die Produktivitätssteigerung durch Automatisierung plakativ demonstriert [CIS10, S208].		Die Maximierung der operativen Produktivität der eingesetzten Ressourcen ist ein Ziel der/des Information Security Manager*in. Produktivität ist hier zu verstehen als Arbeitsprodukt einer Ressource, welche nicht immer der Mensch sein muss. Effizienzsteigerungen können über Automatisierungen, Outsourcing von niedrig priorisierten operativen Tätigkeiten oder Verlagerung von Tätigkeiten an andere Organisationseinheiten erreicht werden. Die eingesetzten Security Technologien helfen bei einem regelmäßigen Einsatz die Produktivität zu steigern, etwa Vulnerability Scanning Tools oder Intrusion Detection Systems (IDS). Manuelle Analysen sind hier aufgrund der Fülle von Systemen und Ansatzpunkten schlichtweg unmöglich. Hier wird die Produktivitätssteigerung durch Automatisierung plakativ demonstriert [CIS10, S208].

	'''Kosteneffektivität'''		'''Kosteneffektivität'''

	Die Finanzierung des Information Security Programs soll stabil und nachhaltig sein. Die Kostenrestriktionen verursachen mitunter Abstriche in der Sicherheit oder auch der operativen Wartungsarbeiten. Daher muss mit dem vorhandenen Budget die bestmögliche Sicherheit für das Unternehmen lukriert werden. Wie jeder andere Geschäftsprozess auch muss dieser budgetiert, dessen Kosten geplant und im laufenden Geschäftsjahr überwacht werden. Dazu soll die Kosteneffektivität des eingesetzten Geldes ständig gemessen werden können, um ~~eben~~ einen hohen Wirkungsgrad zu erreichen. Die Kostenarten reichen von Personalkosten, Kosten für Akquisition und Einsatz, für Wartung und Betrieb, aber auch End-of-Life und Verwaltung, die sich in einem Total-Cost-of-Ownership-Modell (TCO) widerspiegeln. Plakative Berechnungen, wie etwa jährlich 4 Euro-Cent pro tausend virus-gescannter Emails können gegenüber dem Security Steering Committee oder dem Management die Kosteneffektivität unterstreichen [CIS, S208f].		Die Finanzierung des Information Security Programs soll stabil und nachhaltig sein. Die Kostenrestriktionen verursachen mitunter Abstriche in der Sicherheit oder auch der operativen Wartungsarbeiten. Daher muss mit dem vorhandenen Budget die bestmögliche Sicherheit für das Unternehmen lukriert werden. Wie jeder andere Geschäftsprozess auch muss dieser budgetiert, dessen Kosten geplant und im laufenden Geschäftsjahr überwacht werden. Dazu soll die Kosteneffektivität des eingesetzten Geldes ständig gemessen werden können, um einen hohen Wirkungsgrad zu erreichen. Die Kostenarten reichen von Personalkosten, Kosten für Akquisition und Einsatz, für Wartung und Betrieb, aber auch End-of-Life und Verwaltung, die sich in einem Total-Cost-of-Ownership-Modell (TCO) widerspiegeln. Plakative Berechnungen, wie etwa jährlich 4 Euro-Cent pro tausend virus-gescannter Emails können gegenüber dem Security Steering Committee oder dem Management die Kosteneffektivität unterstreichen [CIS, S208f].

	'''Security Awareness'''		'''Security Awareness'''

	Begründet durch die Tatsache, dass das menschliche Verhalten das schwächste Glied in der Information Security darstellt, muss besonderer Fokus auf das ständige Bewusstsein der ~~Mitarbeiterinnen~~ gelegt werden. Diese Fortbildung der Personen muss ständig überwacht und angetrieben werden, weswegen es auch Metriken braucht, den Grad der Awareness festzustellen. Aufzeichnungen über Schulungsteilnahmen, Unterfertigen von Policies und Verwendungsrichtlinien und Berücksichtigung in Personalentwicklungsplänen müssen in Zusammenarbeit mit der Personalabteilung diesen Gedanken fortführen. Denkbar sind auch Tests oder Computer-based Trainings, woraus Messdaten gezogen werden können [CIS10, S209].		Begründet durch die Tatsache, dass das menschliche Verhalten das schwächste Glied in der Information Security darstellt, muss besonderer Fokus auf das ständige Bewusstsein der Mitarbeiter*innen gelegt werden. Diese Fortbildung der Personen muss ständig überwacht und angetrieben werden, weswegen es auch Metriken braucht, den Grad der Awareness festzustellen. Aufzeichnungen über Schulungsteilnahmen, Unterfertigen von Policies und Verwendungsrichtlinien und Berücksichtigung in Personalentwicklungsplänen müssen in Zusammenarbeit mit der Personalabteilung diesen Gedanken fortführen. Denkbar sind auch Tests oder Computer-based Trainings, woraus Messdaten gezogen werden können [CIS10, S209].

	'''Sicherheitsarchitektur'''		'''Sicherheitsarchitektur'''

KLAUSNER Daniela am 13. Jänner 2022 um 18:50 Uhr

2022-01-13T18:50:02Z

← Nächstältere Version		Version vom 13. Jänner 2022, 18:50 Uhr
Zeile 152:		Zeile 152:
	== Results ==		== Results ==

	Gerade bei derart strategisch angesiedelten Ansätzen wie Information Security Management, die top down implementiert werden müssen <ref>Information Security (ohne „Management“) kann selbstverständlich auch bottom up implementiert werden; man kann zwar sicher sein, dass man alles richtig macht („do things right“) – aber nicht, dass man auch das Richtige macht („do the right things“).</ref> , ist es ganz wesentlich, die erwarteten Effekte der gesetzten Maßnahmen zu definieren und danach auch messen zu können. Dies soll wohlüberlegt sein und nicht außerhalb von Information Security Governance erfolgen.		Gerade bei derart strategisch angesiedelten Ansätzen wie Information Security Management, die top down implementiert werden müssen <ref>Information Security (ohne „Management“) kann selbstverständlich auch bottom up implementiert werden; man kann zwar sicher sein, dass man alles richtig macht („do things right“) – aber nicht, dass man auch das Richtige macht („do the right things“).</ref> , ist es ganz wesentlich, die erwarteten Effekte der gesetzten Maßnahmen zu definieren und danach auch messen zu können. Dies soll wohlüberlegt sein und nicht außerhalb von Information Security Governance erfolgen.

	=== Ergebnis ===		=== Ergebnis ===
Zeile 226:		Zeile 226:
	Es gilt, sich im Unternehmen an den verschiedenen Stellen entsprechende Informationen über die Qualität von Prozessen, Technologien, Vorgaben zu holen. Diese Funktionen können sein: physische Sicherheit, Risikomanagement, Qualitätsmanagement, Geheimhaltung, Revision und Audit, Versicherungen, Personal, Business Continuity Management (BCM) inklusive Disaster Recovery (DR) und andere [CIS10, S199].		Es gilt, sich im Unternehmen an den verschiedenen Stellen entsprechende Informationen über die Qualität von Prozessen, Technologien, Vorgaben zu holen. Diese Funktionen können sein: physische Sicherheit, Risikomanagement, Qualitätsmanagement, Geheimhaltung, Revision und Audit, Versicherungen, Personal, Business Continuity Management (BCM) inklusive Disaster Recovery (DR) und andere [CIS10, S199].

	Darüber hinaus gibt es auf sehr detaillierter operativer Ebene ebenso angepeilte Ergebnisse, eventuell Lösungsvorgaben bei Aktivitäten, definierte Rahmenbedingungen bei Outsourcingverhältnissen, technische Sicherheitsempfehlungen bei Entwicklungslösungen oder ähnliches. Zusammengefasst sucht die/der Information Security Managerin beim Management des Information Security Programs folgende sechs Zielsetzungen auf operativer Ebene <ref>Diese sind zu unterscheiden von den (ebenfalls sechs) Zielkategorien auf strategischer Ebene (siehe weiter oben).</ref> , die durch die Unternehmensaufsicht und Unternehmensführung von der/dem Information Security Managerin eingefordert und kontrolliert werden sollen [CIS10, S199]:		Darüber hinaus gibt es auf sehr detaillierter operativer Ebene ebenso angepeilte Ergebnisse, eventuell Lösungsvorgaben bei Aktivitäten, definierte Rahmenbedingungen bei Outsourcingverhältnissen, technische Sicherheitsempfehlungen bei Entwicklungslösungen oder ähnliches. Zusammengefasst sucht die/der Information Security Managerin beim Management des Information Security Programs folgende sechs Zielsetzungen auf operativer Ebene <ref>Diese sind zu unterscheiden von den (ebenfalls sechs) Zielkategorien auf strategischer Ebene (siehe weiter oben).</ref> , die durch die Unternehmensaufsicht und Unternehmensführung von der/dem Information Security Managerin eingefordert und kontrolliert werden sollen [CIS10, S199]:

	<ul>		<ul>
Zeile 252:		Zeile 252:
	MAPs zeigen den momentanen Erfüllungsgrad von Zielen oder Erfolgsfaktoren an. Sie können als Frühindikatoren fungieren. <ref>MAPs wurden in früheren Ausgaben von COBIT als KPIs bezeichnet.</ref>		MAPs zeigen den momentanen Erfüllungsgrad von Zielen oder Erfolgsfaktoren an. Sie können als Frühindikatoren fungieren. <ref>MAPs wurden in früheren Ausgaben von COBIT als KPIs bezeichnet.</ref>

	Wie immer bei Messmetriken muss man definieren, was wirklich zu messen relevant ist. Information Security ist tendenziell schwer zu messen. Dies führt dazu, dass Maßzahlen herangezogen werden, nur weil sie verfügbar und nicht primär, weil sie aussagekräftig sind. Messmetriken sollen in Zusammenarbeit mit den betroffenen Business Owners formuliert werden, da sie ja die Grundlage für inhaltliche Entscheidungen darstellen und somit auch sichergestellt werden muss, dass die Messmetrik die inhaltliche Sachlage richtig darstellt. Die Aussagekraft und Relevanz für die gesetzten Ziele sollen regelmäßig hinterfragt werden. Es können auf Basis der Metrik gemessene Werte aber in vielen Fällen eine reine Indikatorfunktion für mögliche Risiken oder potentielle Auswirkungen erfüllen. Eine Vorhersage auf Basis der vergangenen Messungen ist mitunter recht risikoreich. Dadurch tendiert man zum exzessiven Datensammeln. Die Metriken sollen aber in einer überschaubaren Anzahl vorliegen, um das große Ganze weiterhin sehen zu können. Sie sollen je nach Aspekt und Unternehmensbereich differenziert sein und sich in drei Kategorien einteilen lassen: strategisch, taktisch, operativ – vornehmlich um die richtige Hierarchie-Ebene und Zielgruppen adressieren zu können [CIS10, S44, S70f].		Wie immer bei Messmetriken muss man definieren, was wirklich zu messen relevant ist. Information Security ist tendenziell schwer zu messen. Dies führt dazu, dass Maßzahlen herangezogen werden, nur weil sie verfügbar und nicht primär, weil sie aussagekräftig sind. Messmetriken sollen in Zusammenarbeit mit den betroffenen Business Owners formuliert werden, da sie die Grundlage für inhaltliche Entscheidungen darstellen und somit auch sichergestellt werden muss, dass die Messmetrik die inhaltliche Sachlage richtig darstellt. Die Aussagekraft und Relevanz für die gesetzten Ziele sollen regelmäßig hinterfragt werden. Es können auf Basis der Metrik gemessene Werte aber in vielen Fällen eine reine Indikatorfunktion für mögliche Risiken oder potentielle Auswirkungen erfüllen. Eine Vorhersage auf Basis der vergangenen Messungen ist mitunter recht risikoreich. Dadurch tendiert man zum exzessiven Datensammeln. Die Metriken sollen aber in einer überschaubaren Anzahl vorliegen, um das große Ganze weiterhin sehen zu können. Sie sollen je nach Aspekt und Unternehmensbereich differenziert sein und sich in drei Kategorien einteilen lassen: strategisch, taktisch, operativ – vornehmlich um die richtige Hierarchie-Ebene und Zielgruppen adressieren zu können [CIS10, S44, S70f].

	''Beispiel operativer MAP: Anzahl der Passwortrücksetzungen pro Monat<br>		Beispiel operativer MAP: Anzahl der Passwortrücksetzungen pro Monat<br>Beispiel taktischer MAP: Anzahl der Policy-Abweichungen pro Jahr<br>Beispiel strategischer MAP: Anzahl der signifikanten Änderungen von Risiken und möglichen Auswirkungen in Bezug auf die Geschäftsprozesse pro Jahr'
	Beispiel taktischer MAP: Anzahl der Policy-Abweichungen pro Jahr<br>
	Beispiel strategischer MAP: Anzahl der signifikanten Änderungen von Risiken und möglichen Auswirkungen in Bezug auf die Geschäftsprozesse pro Jahr''

	Die Entwicklung von Metriken kann man in Form von Fragen entwickeln, etwa:		Die Entwicklung von Metriken kann man in Form von Fragen entwickeln, etwa:
Zeile 269:		Zeile 267:
	Die Antwort auf diese Fragen führen zur Metrik, die Messungen sind die Antworten darauf. Trotzdem können sie nur Momentaufnahmen eines gegenwärtigen Zustandes sein. Daher müssen Messungen regelmäßig durchgeführt werden, um eine Entwicklung feststellen zu können.		Die Antwort auf diese Fragen führen zur Metrik, die Messungen sind die Antworten darauf. Trotzdem können sie nur Momentaufnahmen eines gegenwärtigen Zustandes sein. Daher müssen Messungen regelmäßig durchgeführt werden, um eine Entwicklung feststellen zu können.

	Bei der Entwicklung eines Information Security Programs müssen einige Aspekte für Metriken berücksichtigt werden. Zunächst dienen Metriken dazu, den Entwicklungsprozess auf Projekt-, Management- und Strategie-Ebene zu verfolgen und zu begleiten. Sie bilden auch Input für den nachfolgenden Managementprozess, wobei hier die Effektivität und Effizienz der Messbarkeit einfließt. Steuerungsaktivitäten, die nicht messbar sind, sind für diese Zwecke also wertlos. Bei den Metriken muss das angesprochene Zielpublikum berücksichtigt werden, da technische Metriken andere Adressaten (hier taktisches und operatives Management) als strategische Metriken (für das strategische Top-Management), die einen Gesamtzusammenhang messen [CIS10, S175f].		Bei der Entwicklung eines Information Security Programs müssen einige Aspekte für Metriken berücksichtigt werden. Zunächst dienen Metriken dazu, den Entwicklungsprozess auf Projekt-, Management- und Strategie-Ebene zu verfolgen und zu begleiten. Sie bilden auch Input für den nachfolgenden Managementprozess, wobei hier die Effektivität und Effizienz der Messbarkeit einfließt. Steuerungsaktivitäten, die nicht messbar sind, sind für diese Zwecke also wertlos. Bei den Metriken muss das angesprochene Zielpublikum berücksichtigt werden, da technische Metriken andere Adressaten (hier taktisches und operatives Management) haben als strategische Metriken (für das strategische Top-Management), die einen Gesamtzusammenhang messen [CIS10, S175f].

	==== Metrik-Entwicklung ====		==== Metrik-Entwicklung ====
Zeile 341:		Zeile 339:
	'''Sicherheitsarchitektur'''		'''Sicherheitsarchitektur'''

	Die technische Sicherheitsarchitektur soll mit Metriken deren Effektivität transparent machen. Hier kommt es aber auf die Mischung und sinnvolle Aussagekraft an. Mögliche quantitative Fragestellungen können sein:		Die technische Sicherheitsarchitektur soll mit Metriken deren Effektivität transparent machen. Hier kommt es aber auf die Mischung und sinnvolle Aussagekraft an.

			Mögliche quantitative Fragestellungen können sein:

	* Eindringungsversuche, die von Netzwerkzugriffsmechanismen oder IDS erkannt wurden		* Eindringungsversuche, die von Netzwerkzugriffsmechanismen oder IDS erkannt wurden
	* Anzahl und Art der Kompromittierungen		* Anzahl und Art der Kompromittierungen
	* Statistiken von ~~schadensverursachenden~~ Code (Viren, Würmer etc.)		* Statistiken von schadensverursachendem Code (Viren, Würmer etc.)
	* Anzahl der Downtimes infolge von Security Incidents		* Anzahl der Downtimes infolge von Security Incidents
	* Anzahl der Daten, Datensätze, Sessions, die durch das IDS analysiert wurden		* Anzahl der Daten, Datensätze, Sessions, die durch das IDS analysiert wurden
Zeile 353:		Zeile 353:
	* Adäquate Steuerungsaktivitäten auf den einzelnen Architekturebenen		* Adäquate Steuerungsaktivitäten auf den einzelnen Architekturebenen
	* Etablierte Kontrollmechanismen		* Etablierte Kontrollmechanismen
	* Kritische Datenflüsse zu Security-~~Mitarbeiterinnen~~ oder Security-Technologien		* Kritische Datenflüsse zu Security-Mitarbeiter*innen oder Security-Technologien
	Viele dieser technischen Metriken sind nicht management-tauglich, da zu operativ angesiedelt. Sie bedürfen einer Aggregation, will man die gewonnenen Informationen auf Managementebene positionieren [CIS10, S209].		Viele dieser technischen Metriken sind nicht management-tauglich, da zu operativ angesiedelt. Sie bedürfen einer Aggregation, will man die gewonnenen Informationen auf Managementebene positionieren [CIS10, S209].

Zeile 361:		Zeile 361:

	* Wiederholtes Auftreten von bereits behandelten Ereignissen		* Wiederholtes Auftreten von bereits behandelten Ereignissen
	* Überprüfung des operativen Wissenslevels der ~~Mitarbeiterinnen~~		* Überprüfung des operativen Wissenslevels der Mitarbeiter*innen
	* Standardisierungsgrad von Prozessen		* Standardisierungsgrad von Prozessen
	* Klarheit und Umfang der Rollen und Verantwortlichkeiten		* Klarheit und Umfang der Rollen und Verantwortlichkeiten
Zeile 368:		Zeile 368:
	* Auslastung der Security Ressourcen		* Auslastung der Security Ressourcen
	* Alignment mit und Unterstützung von Unternehmenszielen		* Alignment mit und Unterstützung von Unternehmenszielen
	Die Sichtbarmachung des Wertes eines Information Security Programs ist Aufgabe des Information Security ~~Managers~~ [CIS10, S209f].		Die Sichtbarmachung des Wertes eines Information Security Programs ist Aufgabe der/des Information Security Manager*in [CIS10, S209f].

	'''Operative Performance'''		'''Operative Performance'''
Zeile 388:		Zeile 388:
	# Skizzieren Sie die Aktivitäten bei der Entwicklung eines Information Security Programs!		# Skizzieren Sie die Aktivitäten bei der Entwicklung eines Information Security Programs!
	# Erklären Sie, was bei der Einbeziehung von Third Party Service Provider in Hinblick auf die Informationssicherheit beachtet werden muss?		# Erklären Sie, was bei der Einbeziehung von Third Party Service Provider in Hinblick auf die Informationssicherheit beachtet werden muss?
	# Was ist bei einer Outsourcing-Situation für den Information Security Manager zu beachten?		# Was ist bei einer Outsourcing-Situation für die/den Information Security Manager*in zu beachten?
	# Nennen Sie mögliche Stolpersteine beim Information Security Program Management!		# Nennen Sie mögliche Stolpersteine beim Information Security Program Management!
	# Welchen Problemen sehen Sie sich allgemein bei der Selbsteinschätzung einer Situation im Unternehmen gegenüber?		# Welchen Problemen sehen Sie sich allgemein bei der Selbsteinschätzung einer Situation im Unternehmen gegenüber?

KLAUSNER Daniela am 13. Jänner 2022 um 18:37 Uhr

2022-01-13T18:37:12Z

Änderungen zeigen

KLAUSNER Daniela am 13. Jänner 2022 um 18:05 Uhr

2022-01-13T18:05:21Z

KLAUSNER Daniela am 13. Jänner 2022 um 17:49 Uhr

2022-01-13T17:49:23Z

Änderungen zeigen

JUNGBAUER Christoph am 12. Jänner 2022 um 10:06 Uhr

2022-01-12T10:06:33Z

← Nächstältere Version		Version vom 12. Jänner 2022, 10:06 Uhr
Zeile 1:		Zeile 1:


	= Information Security Management – Ablauf =		= Information Security Management – Ablauf =

Zeile 9:		Zeile 7:
	<li><p>Kennenlernen des Prozesses der Umsetzung und kontinuierlichen Verbesserung eines Information Security Programs</p></li>		<li><p>Kennenlernen des Prozesses der Umsetzung und kontinuierlichen Verbesserung eines Information Security Programs</p></li>
	<li><p>Einsatz der Konzepte und Bausteine in der laufenden Umsetzung des Information Security Programs</p>		<li><p>Einsatz der Konzepte und Bausteine in der laufenden Umsetzung des Information Security Programs</p>
			</ul>
	== Process ==		== Process ==

Zeile 380:		Zeile 378:
	<li><p>Durchschnittliche Zeit zwischen Hersteller-Patch-Release und deren Einspielung</p></li>		<li><p>Durchschnittliche Zeit zwischen Hersteller-Patch-Release und deren Einspielung</p></li>
	<li><p>Prozentueller Anteil der auditierten Systeme</p>		<li><p>Prozentueller Anteil der auditierten Systeme</p>
			</ul>
	== Wiederholungsaufgaben ==		== Wiederholungsaufgaben ==
	</li>		</li>
Zeile 390:		Zeile 388:
	# Nennen Sie mögliche Stolpersteine beim Information Security Program Management!		# Nennen Sie mögliche Stolpersteine beim Information Security Program Management!
	# Welchen Problemen sehen Sie sich allgemein bei der Selbsteinschätzung einer Situation im Unternehmen gegenüber?		# Welchen Problemen sehen Sie sich allgemein bei der Selbsteinschätzung einer Situation im Unternehmen gegenüber?



	~~= <br>=</li>~~
	~~</ul>~~

JUNGBAUER Christoph am 12. Jänner 2022 um 10:06 Uhr

2022-01-12T10:06:02Z

Änderungen zeigen

JUNGBAUER Christoph: Die Seite wurde neu angelegt: „ = Information Security Management – Ablauf = '''Ziele der Lektion'''

Kennenlernen des Prozesses der Entwicklung eines Information Security Programs

Kennenlernen des Prozesses der Umsetzung und kontinuierlichen Verbesserung eines Information Security Programs

Einsatz der Konzepte und Bausteine in der laufenden Umsetzung des Information Security Programs
== Process == === Information Security Risk Mana…“

2022-01-12T10:03:54Z

Die Seite wurde neu angelegt: „ = Information Security Management – Ablauf = '''Ziele der Lektion''' <ul> <li>Kennenlernen des Prozesses der Entwicklung eines Information Security Programs</li> <li>Kennenlernen des Prozesses der Umsetzung und kontinuierlichen Verbesserung eines Information Security Programs</li> <li>Einsatz der Konzepte und Bausteine in der laufenden Umsetzung des Information Security Programs == Process == === Information Security Risk Mana…“

Änderungen zeigen

← Nächstältere Version		Version vom 13. Jänner 2022, 18:05 Uhr
Zeile 74:		Zeile 74:
	'''Information Security Program strukturieren'''		'''Information Security Program strukturieren'''

	Zunächst muss – wie bei eigentlich jedem Grundsatzdokument – Gültigkeitsbereich ('''Scope''') und eine Grundsatzdefinition ('''Charter''') formuliert werden. Die Aufgabe des Managements sollte in diesem Teil festgeschrieben werden. Gleich vorab müssen '''qualitätssichernde Funktionen''' integriert werden, die es erlauben, später die inhaltliche Erfüllung der Vorgaben bewerten zu können. Dazu müssen Risikomanagement, Qualitätssicherung, rechtliche Aspekte einfließen. Genau diese '''Vielschichtigkeit''' ist eine Herausforderung, weil sämtliche Aspekte People, Process, Products (Technologie) konsistent in dem Information Security Program zu berücksichtigen sind. Zudem sind die Elemente ständiger Veränderung unterworfen, also etwa laufende Veränderungen in der Organisation, den Verantwortungen oder den Funktionen. Auch müssen ineffektive Situationen aus dem Projektmanagement, Compliance Management, Strategie-Mankos, Fehler bei den Messmetriken oder allgemein den technischen Security-Zustand von Software erkannt und darauf reagiert werden können. Anschließend werden '''Ziele''' definiert, welche die Strategie in konkrete operative Zielsetzungen, Prozesse und technische Maßnahmen herunterbrechen, wobei das Heranziehen von wohldefinierten Security Architekturen hilfreich ist. Die Ziele können mitunter durch Gap-Analysen ausgehend von der aktuellen Ist-Situation formuliert und Prozesse und Konzepte zur Verringerung des ermittelten Deltas entwickelt werden. Da Ziele immer messbar sein sollen, sind in dieser Phase bereits Überlegungen zu MAGs anzustellen. Weiters ist das '''akzeptierte Risiko''' des betreffenden Unternehmens festzuhalten, da diese ja Auswirkungen auf sämtliche Aktivitäten des Information Security Programs haben. Diesem muss ein Business Case zugrunde liegen, sodass das verbleibende Risiko auch ökonomisch argumentiert werden kann. Der '''angestrebte Zielzustand''' von Information Security, dem eigentlichen ursächlichen Grund für die Entwicklung eines Information Security Programs, wird in einem folgenden Abschnitt dargelegt. Diese haben korrespondierende MAGs, die aber unterschiedlich kosten-, zeit- und aufwandsintensiv erreicht werden können. Die Eruierung des für das Unternehmen optimal erscheinenden Weges wird durch die Definition von MAPs erreicht. Sind die Ziele definiert wird in einem nächsten Schritt eine '''Roadmap''' entwickelt, welche den grundsätzlichen Weg zur Zielerreichung vorgibt. Diese Grobplanung zeigt in einer folgenden Detailstufe die grundsätzlichen Aktivitäten zur geplanten Erfüllung eines spezifischen Ziels. Dabei werden das Ziel, der Gültigkeitsbereich, Beschränkungen, die Methodik sowie das angestrebte Ergebnis inklusive Kriterien für die Messung dokumentiert. Bereits hier müssen Rollen und Verantwortlichkeiten für die allgemeinen und abteilungsspezifischen Aktivitäten im Rahmen des Information Security Programs vergeben werden. Der Umgang mit Information und ihre Sicherheit sollen möglichst in allen Lebenszyklusphasen der Information definiert sein, wiewohl das schwierig zu realisieren ist. Auf Basis dieser Vorgaben können dann die einzelnen Projekte, Initiativen, Aktivitäten für Information Security abgeleitet und in einem '''Aktionsplan''' genauer geplant werden. Dieser konzentriert sich rein auf die Umsetzung der MAGs und MAPs. Die Erfahrungen damit fließen über eine Feedbackschleife schlussendlich wieder in die Weiterentwicklung des Information Security Programs [CIS10, S152ff].		Zunächst muss – wie bei eigentlich jedem Grundsatzdokument – ein Gültigkeitsbereich ('''Scope''') und eine Grundsatzdefinition ('''Charter''') formuliert werden. Die Aufgabe des Managements sollte in diesem Teil festgeschrieben werden. Gleich vorab müssen '''qualitätssichernde Funktionen''' integriert werden, die es erlauben, später die inhaltliche Erfüllung der Vorgaben bewerten zu können. Dazu müssen Risikomanagement, Qualitätssicherung, rechtliche Aspekte einfließen. Genau diese '''Vielschichtigkeit''' ist eine Herausforderung, weil sämtliche Aspekte People, Process, Products (Technologie) konsistent in dem Information Security Program zu berücksichtigen sind. Zudem sind die Elemente ständiger Veränderung unterworfen, also etwa laufende Veränderungen in der Organisation, den Verantwortungen oder den Funktionen. Auch müssen ineffektive Situationen aus dem Projektmanagement, Compliance Management, Strategie-Mankos, Fehler bei den Messmetriken oder allgemein den technischen Security-Zustand von Software erkannt und darauf reagiert werden können. Anschließend werden '''Ziele''' definiert, welche die Strategie in konkrete operative Zielsetzungen, Prozesse und technische Maßnahmen herunterbrechen, wobei das Heranziehen von wohldefinierten Security Architekturen hilfreich ist. Die Ziele können mitunter durch Gap-Analysen ausgehend von der aktuellen Ist-Situation formuliert und Prozesse und Konzepte zur Verringerung des ermittelten Deltas entwickelt werden. Da Ziele immer messbar sein sollen, sind in dieser Phase bereits Überlegungen zu MAGs anzustellen. Weiters ist das '''akzeptierte Risiko''' des betreffenden Unternehmens festzuhalten, da diese Auswirkungen auf sämtliche Aktivitäten des Information Security Programs haben. Diesem muss ein Business Case zugrunde liegen, sodass das verbleibende Risiko auch ökonomisch argumentiert werden kann. Der '''angestrebte Zielzustand''' von Information Security, dem eigentlichen ursächlichen Grund für die Entwicklung eines Information Security Programs, wird in einem folgenden Abschnitt dargelegt. Diese haben korrespondierende MAGs, die aber unterschiedlich kosten-, zeit- und aufwandsintensiv erreicht werden können. Die Eruierung des für das Unternehmen optimal erscheinenden Weges wird durch die Definition von MAPs erreicht. Sind die Ziele definiert, wird in einem nächsten Schritt eine '''Roadmap''' entwickelt, welche den grundsätzlichen Weg zur Zielerreichung vorgibt. Diese Grobplanung zeigt in einer folgenden Detailstufe die grundsätzlichen Aktivitäten zur geplanten Erfüllung eines spezifischen Ziels. Dabei werden das Ziel, der Gültigkeitsbereich, Beschränkungen, die Methodik sowie das angestrebte Ergebnis inklusive Kriterien für die Messung dokumentiert. Bereits hier müssen Rollen und Verantwortlichkeiten für die allgemeinen und abteilungsspezifischen Aktivitäten im Rahmen des Information Security Programs vergeben werden. Der Umgang mit Information und ihre Sicherheit sollen möglichst in allen Lebenszyklusphasen der Information definiert sein, wiewohl das schwierig zu realisieren ist. Auf Basis dieser Vorgaben können dann die einzelnen Projekte, Initiativen, Aktivitäten für Information Security abgeleitet und in einem '''Aktionsplan''' genauer geplant werden. Dieser konzentriert sich rein auf die Umsetzung der MAGs und MAPs. Die Erfahrungen damit fließen über eine Feedbackschleife schlussendlich wieder in die Weiterentwicklung des Information Security Programs [CIS10, S152ff].

	'''Policy und Standard Compliance sicherstellen'''		'''Policy und Standard Compliance sicherstellen'''
Zeile 82:		Zeile 82:
	'''Training und Schulung initiieren'''		'''Training und Schulung initiieren'''

	Nicht nur Vorgaben, auch die proaktive Schulung der handelnden Personen muss bei der Entwicklung des Programs sichergestellt werden. Training und Schulung auf regelmäßiger Basis fördern die Awareness und Sensibilität der ~~Mitarbeiterinnen~~ im Umgang mit Information. Sie schaffen ein Bewusstsein, was im Zuge ihrer tagesgeschäftlichen Aktivitäten zu beachten ist [CIS10, S166f].		Nicht nur Vorgaben, auch die proaktive Schulung der handelnden Personen muss bei der Entwicklung des Programs sichergestellt werden. Training und Schulung auf regelmäßiger Basis fördern die Awareness und Sensibilität der Mitarbeiter*innen im Umgang mit Information. Sie schaffen ein Bewusstsein, was im Zuge ihrer tagesgeschäftlichen Aktivitäten zu beachten ist [CIS10, S166f].

	'''Steuerungsaktivitäten (Controls) planen'''		'''Steuerungsaktivitäten (Controls) planen'''

	Zur Implementierung von einschlägigen Steuerungsaktivitäten können ~~bereits mehrfach genannte~~ Frameworks, wie etwa COBIT oder ISO 2700x herangezogen werden. Anhand von Zielformulierungen wird der Rahmen dafür abgesteckt, wobei die konkrete Implementierung auf die Unternehmenssituation abgestimmt sein muss. ~~Der~~ Information Security Manager muss den Einsatz der Steuerungsaktivitäten – seien sie allgemein oder applikationsspezifisch – optimieren, sodass effektiv und effizient das Steuerungsziel erreicht werden kann [CIS10, S167].		Zur Implementierung von einschlägigen Steuerungsaktivitäten können Frameworks, wie etwa COBIT oder ISO 2700x herangezogen werden. Anhand von Zielformulierungen wird der Rahmen dafür abgesteckt, wobei die konkrete Implementierung auf die Unternehmenssituation abgestimmt sein muss. Die/der Information Security Manager*in muss den Einsatz der Steuerungsaktivitäten – seien sie allgemein oder applikationsspezifisch – optimieren, sodass effektiv und effizient das Steuerungsziel erreicht werden kann [CIS10, S167].

	'''Lebenszyklusintegration gewährleisten'''		'''Lebenszyklusintegration gewährleisten'''

	Um Information Security über die gesamte Lebensdauer eines Services, eines Systems oder Applikation und ~~also~~ einer Information sicherzustellen, müssen in den Vorgehensweisen für die Entwicklung und den Betrieb entsprechende sicherheitsrelevante Aktivitäten berücksichtigt werden. Insbesondere sind dabei das Projektmanagement und der Software Development Life Cycle (SDLC) zu adressieren. Diese Sicherheitsprozesse müssen integraler Bestandteil sein, insbesondere bei sich ständig ändernden Umwelten, technologisch wie auch organisatorisch. Im Sinne einer Produkt- oder Service-Evolution müssen für jede Lebensphase der Information Mechanismen existieren [CIS10, S168].		Um Information Security über die gesamte Lebensdauer eines Services, eines Systems oder Applikation und einer Information sicherzustellen, müssen in den Vorgehensweisen für die Entwicklung und den Betrieb entsprechende sicherheitsrelevante Aktivitäten berücksichtigt werden. Insbesondere sind dabei das Projektmanagement und der Software Development Life Cycle (SDLC) zu adressieren. Diese Sicherheitsprozesse müssen integraler Bestandteil sein, insbesondere bei sich ständig ändernden Umwelten, technologisch wie auch organisatorisch. Im Sinne einer Produkt- oder Service-Evolution müssen für jede Lebensphase der Information Mechanismen existieren [CIS10, S168].

	Im Rahmen des Prozesses geht es um die Implementierung des Managements eines Information Security Programs, die aus einer Vielzahl von nicht sequentiell zusammenhängenden Aktivitäten bestehen. Zuerst ist es wichtig, sich einen Überblick über den Wirkungsbereich, den „Scope“, sowie die Verantwortlichkeiten des Programs zu machen. Die bestehenden Strukturen, vorhandene Security-Funktionen müssen dabei erfasst und dokumentiert werden, sodass ein gegenseitiges gemeinsames Verständnis bei allen Beteiligten erreicht wird. Dabei müssen Widersprüche und Konflikte erkannt und möglichst bereinigt werden, in vielen Fällen ist es nur möglich, sich derer gewahr zu sein.		Im Rahmen des Prozesses geht es um die Implementierung des Managements eines Information Security Programs, die aus einer Vielzahl von nicht sequentiell zusammenhängenden Aktivitäten bestehen. Zuerst ist es wichtig, sich einen Überblick über den Wirkungsbereich, den „Scope“, sowie die Verantwortlichkeiten des Programs zu machen. Die bestehenden Strukturen, vorhandene Security-Funktionen müssen dabei erfasst und dokumentiert werden, sodass ein gegenseitiges gemeinsames Verständnis bei allen Beteiligten erreicht wird. Dabei müssen Widersprüche und Konflikte erkannt und möglichst bereinigt werden, in vielen Fällen ist es nur möglich, sich derer gewahr zu sein.
Zeile 96:		Zeile 96:
	'''Policies und Standards überprüfen und aktualisieren'''		'''Policies und Standards überprüfen und aktualisieren'''

	Policies sollten eher selten geändert werden, obschon man sie regelmäßig auf Aktualität überprüfen muss. Standards werden dagegen in der Regel etwas häufiger adaptiert und sind in vielen Fällen Änderungen in Technologien geschuldet. Viele Policies weisen unterschiedliche Hierarchiestufen auf, wobei die operativer formulierten häufiger Änderungen unterworfen sind. Jedenfalls muss es für den Ablauf des Reviews und der Anpassung vorgegebene Abläufe für Erweiterung, Adaptierung oder Streichungen geben. Es muss sichergestellt sein, dass alle betroffenen Stakeholder – eventuell durch Einbindung des Security Committees – in ~~diesem~~ Prozess eingebunden werden, sodass die neue Version entsprechend gemeinsam tragfähig bleibt. Die Verantwortung für Change Management trägt der Information Security Manager [CIS10, S220].		Policies sollten eher selten geändert werden, obschon man sie regelmäßig auf Aktualität überprüfen muss. Standards werden dagegen in der Regel etwas häufiger adaptiert und sind in vielen Fällen Änderungen in Technologien geschuldet. Viele Policies weisen unterschiedliche Hierarchiestufen auf, wobei die operativer formulierten häufiger Änderungen unterworfen sind. Jedenfalls muss es für den Ablauf des Reviews und der Anpassung vorgegebene Abläufe für Erweiterung, Adaptierung oder Streichungen geben. Es muss sichergestellt sein, dass alle betroffenen Stakeholder – eventuell durch Einbindung des Security Committees – in diesen Prozess eingebunden werden, sodass die neue Version entsprechend gemeinsam tragfähig bleibt. Die Verantwortung für Change Management trägt die/der Information Security Manager*in [CIS10, S220].

	'''Security Management Metriken hinterfragen und überwachen'''		'''Security Management Metriken hinterfragen und überwachen'''

	Eine wichtige andauernde Tätigkeit ist das Adaptieren der Metriken für das Information Security Program einerseits und das Gewinnen von Messinformationen andererseits. Metriken werden auf allen Ebenen strategisch/taktisch/operativ benötigt und richten sich an verschiedenes Zielpublikum. Dazu zählen sowohl organisatorische, prozessorientierte als auch insbesondere technische Metriken. Zusätzlich muss die Effektivität, also das korrekte Arbeiten des Programs sichergestellt und damit verifiziert werden. Auch soll die Kosteneffektivität der eingesetzten Steuerungsaktivitäten regelmäßig hinterfragt werden. Als weiteren Aspekt muss man innerhalb der Metrik bestimmen können, was die Messung bedeutet und ab welchem Wert man zufrieden sein kann. Daher sind aussagekräftige MAPs zu definieren, die Schwellwerte nennen und den Wert mit einer qualitativen Aussage verknüpfen. Es gilt also, sämtliche Aspekte durch ausgeklügelte Metriken „auszuleuchten“, ständig deren Aussagekraft zu hinterfragen und regelmäßig Zahlen dafür zu akquirieren und zu bewerten. Ziel dieser Aktivität ist es, Änderungen, die sich auf Information Security auswirken, rasch erkennen und frühzeitig darauf – in welcher Art und Weise auch immer – reagieren zu können. Dabei muss auch immer die Messmethode und die zugrundeliegende Basisannahme evaluiert werden [CIS10, S221f].		Eine wichtige andauernde Tätigkeit ist das Adaptieren der Metriken für das Information Security Program einerseits und das Gewinnen von Messinformationen andererseits. Metriken werden auf allen Ebenen strategisch/taktisch/operativ benötigt und richten sich an verschiedenes Zielpublikum. Dazu zählen sowohl organisatorische, prozessorientierte als auch insbesondere technische Metriken. Zusätzlich muss die Effektivität, also das korrekte Arbeiten des Programs, sichergestellt und damit verifiziert werden. Auch soll die Kosteneffektivität der eingesetzten Steuerungsaktivitäten regelmäßig hinterfragt werden. Als weiteren Aspekt muss man innerhalb der Metrik bestimmen können, was die Messung bedeutet und ab welchem Wert man zufrieden sein kann. Daher sind aussagekräftige MAPs zu definieren, die Schwellwerte zu nennen und den Wert mit einer qualitativen Aussage zu verknüpfen. Es gilt also, sämtliche Aspekte durch ausgeklügelte Metriken „auszuleuchten“, ständig deren Aussagekraft zu hinterfragen und regelmäßig Zahlen dafür zu akquirieren und zu bewerten. Ziel dieser Aktivität ist es, Änderungen, die sich auf Information Security auswirken, rasch zu erkennen und frühzeitig darauf – in welcher Art und Weise auch immer – reagieren zu können. Dabei muss auch immer die Messmethode und die zugrundeliegende Basisannahme evaluiert werden [CIS10, S221f].

	'''Steuerungsaktivitäten testen und adaptieren'''		'''Steuerungsaktivitäten testen und adaptieren'''