Zum Hauptinhalt springen
CENEDRIL HANDBUCH
Zu Cenedril
ISMS-Assistent · Ziele & Umsetzung

Sicherheitsziele & Umsetzung

Aktualisiert am 4 Min. Pro-Abo-Stufe In Cenedril öffnen

Ziel Die Kontrollentscheidungen aus der Anwendbarkeitserklärung in einen Risikobehandlungsplan mit Verantwortlichen und Terminen überführen, messbare Informationssicherheitsziele festlegen und die Umsetzung in Aufgaben aufschlüsseln.

Im ISMS-Assistenten überführen Sie unter Ziele & Planung die Kontrollentscheidungen aus der Anwendbarkeitserklärung in einen Risikobehandlungsplan, legen messbare Informationssicherheitsziele fest und arbeiten anschließend im Kapitel Implementierung die Durchführungskriterien jeder geplanten Kontrolle ab. Auf der ersten Seite setzen Sie für jede anwendbare Kontrolle einen Umsetzungsstatus mit verantwortlicher Person und Zieldatum, auf der zweiten definieren Sie Ziele auf Programm-, Risiko- und Kontrollebene, und im Folgekapitel zerlegen Sie die geplanten Kontrollen in zuweisbare Aufgaben.

Risikobehandlungsplan aufstellen

Kapitel „Ziele & Planung“ öffnen

Öffnen Sie den ISMS-Assistenten und wechseln Sie in das Kapitel Ziele & Planung. Die Einführungsseite zeigt zwei Themenkarten: Risikobehandlungsplan und Informationssicherheitsziele. Beginnen Sie mit dem Behandlungsplan.

Die Einführung des Kapitels „Ziele & Planung“ mit den Karten „Risikobehandlungsplan“ und „Informationssicherheitsziele“.

Umsetzungsstatus je Kontrolle setzen

Die Seite Risikobehandlungsplan listet jede anwendbare Kontrolle aus der Anwendbarkeitserklärung, gruppiert nach den Themen organisatorisch, personell, physisch und technologisch. Setzen Sie im Feld Status je Kontrolle einen der vier Werte: Umgesetzt, Geplant, Zurückgestellt oder Nicht begonnen. Beginnen Sie mit den bereits operativen Kontrollen und setzen Sie diese auf Umgesetzt, damit die Zusammenfassungs-Kacheln oben eine realistische Ausgangslage zeigen.

Für jede anwendbare Kontrolle setzen Sie einen Umsetzungsstatus; die Kacheln oben zählen die Kontrollen je Status.

Verantwortliche, Termine und Begründungen ergänzen

Bei Geplant erscheinen die Felder Verantwortlich und Zieldatum. Füllen Sie beide sofort aus, damit eine geplante Kontrolle eindeutig von einer zurückgestellten unterscheidbar bleibt. Bei Zurückgestellt erscheint ein Begründungsfeld; tragen Sie dort den Grund ein, etwa eine ausstehende Budgetfreigabe oder eine Abhängigkeit von einem anderen Projekt. Über die Risiko-Kontext-Zeile einer Kontrolle klappen Sie die zugeordneten Szenarien mit ihren Vorher/Nachher-Risikoniveaus auf und schätzen so die Dringlichkeit ein.

Genehmigung der Risikoeigner einholen

Im Abschnitt Genehmigung der Risikoeigner halten Sie fest, dass die risikoverantwortlichen Personen den Behandlungsplan genehmigt und die verbleibenden Risiken über Alle Residualrisiken akzeptieren angenommen haben. ISO 27001 verlangt diese Zustimmung ausdrücklich (Abschnitt 6.1.3 f). Speichern Sie über Speichern & Weiter.

Ergebnis: Jede anwendbare Kontrolle trägt einen Umsetzungsstatus, geplante Kontrollen haben eine verantwortliche Person und ein Zieldatum, zurückgestellte eine Begründung, und die Genehmigung der Risikoeigner ist dokumentiert.

Sicherheitsziele festlegen

Ziele auf drei Ebenen anlegen

Die Seite Informationssicherheitsziele ist in drei Reiter gegliedert: Programmziele (strategische ISMS-Reife), Risikoziele (Wirksamkeit der Risikobehandlung) und Kontrollziele (operativ an einzelne Kontrollen gebunden). Cenedril schlägt zu jedem Reiter Ziele vor, geordnet in fünf Vorlagen-Gruppen: ISMS-Reife, Kontroll-KPIs, Schutzbedarf zentraler Assets, Stakeholder-Anforderungen und die Messgrößen der ISO/IEC 27004. Übernehmen Sie passende Vorlagen oder legen Sie über Ziel hinzufügen ein eigenes Ziel an.

Die drei Reiter „Programmziele“, „Risikoziele“ und „Kontrollziele“ mit den Vorlagen darunter.

Jedes Ziel messbar machen

Tragen Sie für jedes Ziel ein, was getan wird, wer verantwortlich ist, das Zieldatum und wie die Ergebnisse bewertet werden. Wählen Sie unter Messungsart zwischen Binär (ja/nein), KPI (messbarer Zielwert) und Periodische Überprüfung. Bei einem KPI ergänzen Sie Zielwert und Einheit sowie die Ampel-Schwellen für Grün und Gelb; der Balken unter den Feldern zeigt die Zonen visuell.

Ziele speichern und ins Kapitel Implementierung wechseln

Über Als Entwurf speichern sichern Sie Zwischenstände, über Speichern & Weiter schließen Sie das Kapitel Ziele & Planung ab. Der Assistent führt anschließend in das Kapitel Implementierung.

Ergebnis: Das ISMS ist messbar. Jedes Ziel hält fest, was getan wird, wer verantwortlich ist, bis wann, welche Datenquelle die Messung speist und wo die Ampel-Schwellen liegen.

Kontrollen umsetzen

Geplante Kontrollen in Arbeitspakete aufschlüsseln

Im Kapitel Implementierung öffnen Sie die Seite Risikokontrollmaßnahmen umsetzen. Sie zeigt jede im Behandlungsplan als geplant markierte Kontrolle, gruppiert nach Thema. Jede Kontrolle klappt zu Gruppen von Durchführungskriterien aus ISO 27002 auf, wobei jede Gruppe ein logisches Arbeitspaket bildet. Beginnen Sie mit den Kontrollen, deren Zieldatum am nächsten liegt; es steht im Header jeder Kontrollkarte.

Eine aufgeklappte Kontrolle mit ihren Kriterien-Gruppen und der Schaltfläche zum Erstellen einer Gruppen-Aufgabe.

Kriterien abhaken und Aufgaben erstellen

Haken Sie die einzelnen Kriterien einer Gruppe ab, während Sie sie bearbeiten, und erstellen Sie über Aufgabe für diese Gruppe erstellen je Arbeitspaket eine Aufgabe im Cenedril-Aufgabensystem. Der kleine Pfeil neben einem Kriterium klappt die Umsetzungsdetails auf: Anleitung, Teilaufgaben, RACI und geschätzten Aufwand. Ein Cenedril-Badge an einem Kriterium weist darauf hin, dass dieses über ein bestehendes Artefakt der Plattform umgesetzt wird, etwa eine Richtlinie, ein Register oder die Management-Review-Durchführung. Prüfen Sie das verknüpfte Artefakt, bevor Sie eine neue Aufgabe erstellen.

Ergebnis: Jede geplante Kontrolle ist in Arbeitspakete aufgeschlüsselt, die Kriterien sind abgehakt, und die Aufgaben für die operative Arbeit liegen im System. Das nächste Kapitel, Leistungsbewertung, misst, ob die Umsetzung die gesetzten Ziele erreicht.

Häufige Fragen

Worin unterscheidet sich der Risikobehandlungsplan von der Anwendbarkeitserklärung?

Die Anwendbarkeitserklärung hält fest, welche Kontrollen anwendbar sind und warum. Der Behandlungsplan ist das operative Gegenstück: Er hält fest, wer welche Kontrolle bis wann umsetzt und in welchem Status sie steht. ISO 27001 verlangt die Genehmigung dieses Plans durch die risikoverantwortlichen Personen (Abschnitt 6.1.3 f).

Was bedeuten die vier Umsetzungsstatus?

»Umgesetzt« heißt, die Kontrolle ist vollständig operativ und Nachweise existieren. »Geplant« heißt, die Kontrolle ist zugesagt und hat eine verantwortliche Person und ein Zieldatum. »Zurückgestellt« heißt, die Umsetzung wird bewusst verschoben, und das Begründungsfeld ist im Audit tragend. »Nicht begonnen« ist der Ausgangszustand.

Muss jedes Sicherheitsziel messbar sein?

ISO 27001 verlangt messbare Ziele, sofern praktikabel. Jedes Ziel trägt eine Messungsart: binär (ja/nein), KPI mit Zielwert und Einheit oder periodische Überprüfung. Für KPI-Ziele lassen sich zusätzlich Ampel-Schwellen für Grün, Gelb und Rot hinterlegen.

Woher kommen die Ziel-Vorlagen?

Cenedril leitet Vorschläge aus dem Behandlungsplan, der Risikobeurteilung und den Messgrößen der ISO/IEC 27004 ab. Die Vorlagen sind in fünf Gruppen geordnet: ISMS-Reife, Kontroll-KPIs, Schutzbedarf zentraler Assets, Stakeholder-Anforderungen und die 27004-Messgrößen. Sie übernehmen, was passt, und ergänzen eigene Ziele.

Welche Kontrollen erscheinen auf der Umsetzungsseite?

Nur die als »geplant« markierten Kontrollen aus dem Behandlungsplan. Für jede werden die Durchführungskriterien aus ISO 27002 in Arbeitspakete (Gruppen) aufgeschlüsselt, die Sie abhaken und je Gruppe als Aufgabe erstellen können.

Informationssicherheit-Assistent

Anwendbarkeitserklärung (SoA) & Risikobehandlung

So wählen Sie im ISMS-Assistenten für jedes Risiko eine Behandlungsoption, aktivieren die passenden Kontrollen aus Anhang A und erzeugen daraus die Anwendbarkeitserklärung.

Informationssicherheit-Assistent

RACI, Business Continuity, Lieferantenmanagement

So weisen Sie im ISMS-Assistenten Rollen über die RACI-Matrix zu, planen Business Continuity und führen das Lieferantenregister mit Bewertung und Richtlinie.