ISO 27001 anforderung 6.1: Informationssicherheitsziele und Planung ihrer Umsetzung

Inhaltsverzeichnis

1. Was ist Klausel 6.2 der ISO 27001?
   
   
2. Kernelemente von Klausel 6.2
   
   
3. Klausel 6.2: Was hat sich in ISO 27001:2022 geändert?
   
   
4. Wie kann man die Anforderungen von Klausel 6.2 erfüllen? 

Einstieg in Klausel 6.2 der ISO 27001: Informationssicherheitsziele und Planung ihrer Umsetzung

Klausel 6.2 der ISO 27001, mit dem Titel "Informationssicherheitsziele und Planung", ist ein wichtiger Aspekt des Informationssicherheitsmanagements. Einfach ausgedrückt geht es darum, klare Ziele für den Schutz Ihrer Daten zu setzen und einen Plan zur Erreichung dieser Ziele zu erstellen.

Was verlangt Klausel 6.2? 

In Klausel 6.2 geht es allgemein darum Ziele zu definieren deren Umsetzung zu planen. Konkret fordert die Klausel Organisationen zu Folgendem auf:

1. Relevante Ziele definieren: Organisationen müssen spezifische Informationssicherheitsziele identifizieren und dokumentieren, die ihren Geschäftsanforderungen entsprechen. Diese Ziele sollten im Einklang mit den allgemeinen Zielen der Organisation stehen und darauf ausgelegt sein, ihre wichtigsten Informationen zu schützen.
   
   
2. Ziele mit der eigenen Risikobereitschaft in Einklang bringen: Die Ziele sollten auch der generellen Risikobereitschaft der Organisation in Einklang gebracht werden. In anderen Worten heißt das: Setzen Sie sich keine Ziele, die Ressourcen oder Anstrengungen erfordern, die Sie nicht bereit sind, zu investieren, um Ihre Daten zu schützen.
   
   
3. Machen Sie Ziele messbar und erreichbar: Ziele sollten klar und erreichbar sein. Sie sollten in der Lage sein, Ihren Fortschritt in Richtung dieser Ziele zu messen und zuversichtlich sein, dass Sie sie erreichen können.
   
   
4. Entwickeln Sie einen Plan: Sobald Sie Ihre Ziele kennen, ist es wichtig, einen Plan zu erstellen. Dieser Plan sollte die erforderlichen Ressourcen, Zeiträume, Verantwortlichkeiten und Methoden zur Erreichung Ihrer Sicherheitsziele skizzieren.

Kernelemente von Klausel 6.2

Lassen Sie uns nun die wichtigsten Elemente dieser Klausel betrachten:

• Relevanz: Die Ziele müssen mit den Bedürfnissen Ihres Unternehmens und dem Schutz Ihrer kritischen Daten in Einklang stehen.
  
  
• Risikoausrichtung: Stellen Sie sicher, dass Ihre Ziele mit Ihrer Risikotoleranz und den verfügbaren Ressourcen übereinstimmen.
  
  
• Messbarkeit: Die Ziele sollten quantifizierbar und machbar sein.
  
  
• Planung: Entwickeln Sie einen umfassenden Plan mit Ressourcen, Zeitplänen, Verantwortlichkeiten und Methoden.

Was hat sich in ISO 27001:2022 geändert?

Die Aktualisierung von ISO 27001 im Jahr 2022 brachte einige Klärungen und Verbesserungen in Klausel 6.2:

• Dokumentation: Es wurde die Notwendigkeit der Dokumentation von Zielen klargestellt.
  
  
• Messbarkeit und Erreichbarkeit: Das Erfordernis, dass Ziele messbar und erreichbar sein müssen, wurde gestärkt.
  
  
• Details der Planung: Die Aktualisierung fügte Details hinzu und verlangte, dass der Plan die benötigten Ressourcen, Zeitpläne, Verantwortlichkeiten und Methoden enthalten muss.

Warum ist Klausel 6.2 wichtig?

Klausel 6.2 ist von großer Bedeutung, da sie sicherstellt, dass Unternehmen verstehen, wie sie ihre Informationsbestände schützen können. Durch die Festlegung messbarer Ziele und die Erstellung eines soliden Plans können Unternehmen das Risiko von Sicherheitsverletzungen verringern.

So erfüllen Sie die Anforderungen von Klausel 6.2

Hier sind einige praktische Schritte, um die Anforderungen von Abschnitt 6.2 zu erfüllen:

1. Identifizieren Sie wichtige Assets: Beginnen Sie damit, die kritischen Informationsressourcen Ihres Unternehmens zu ermitteln.
   
   
2. Bewerten Sie Risiken: Bewerten Sie die Risiken für diese Vermögenswerte – dies kann durch die Überprüfung der Risikoszenarien erfolgen, die sich auf diese Vermögenswerte auswirken könnten.
   
   
3. Legen Sie abgestimmte Ziele fest: Erstellen Sie Sicherheitsziele, die Ihrer Risikotoleranz entsprechen, und mindern Sie identifizierte Risiken.
   
   
4. Dokumentieren Sie Ihre Ziele: Halten Sie Ihre Ziele schriftlich fest.
   
   
5. Entwickeln Sie einen Plan: Erstellen Sie einen detaillierten Plan, der Ressourcen, Zeitpläne, Verantwortlichkeiten und Methoden umreißt.
   
   
6. Umsetzung: Setzen Sie Ihren Plan in die Tat um.
   
   
7. Überwachen und überprüfen: Überwachen und überprüfen Sie Ihren Plan regelmäßig, um sicherzustellen, dass er effektiv bleibt. Wenn sich herausstellt, dass es nicht mehr wirksam ist, wiederholen Sie die Schritte 5 bis 7, um Ihre Ziele zu verbessern und zu zeigen, wie sie die Vermögenswerte Ihres Unternehmens am besten schützen.

Wenn Sie diese Schritte befolgen, helfen Sie Ihrem Unternehmen, die Anforderungen von Klausel 6.2 zu erfüllen und Informationssicherheit zu verbessern.