Ein KPI (Key Performance Indicator) ist eine messbare Kennzahl, die zeigt, wie wirksam eine Sicherheitsmaßnahme oder ein Prozess funktioniert. ISO 27001 fordert in Abschnitt 9.1, dass du festlegst, was überwacht und gemessen wird. Typische ISMS-KPIs sind die mittlere Reaktionszeit bei Sicherheitsvorfällen, der Anteil rechtzeitig gepatchter Systeme, die Abschlussquote von Awareness-Schulungen oder die Anzahl offener Nichtkonformitäten. Gute KPIs haben einen klaren Schwellenwert, der eine Aktion auslöst, wenn er unterschritten wird. Zu viele KPIs verwässern die Aufmerksamkeit — konzentriere dich auf die aussagekräftigsten Indikatoren für dein ISMS.
KPI (Key Performance Indicator)
Hier verwendet
ISO-27001-Kontrollen 93
- A.5.1 — Richtlinien für Informationssicherheit
- A.5.10 — Akzeptable Nutzung von Informationswerten
- A.5.11 — Rückgabe von Vermögenswerten
- A.5.12 — Klassifizierung von Informationen
- A.5.13 — Kennzeichnung von Informationen
- A.5.14 — Informationsübertragung
- A.5.15 — Zugriffskontrolle
- A.5.16 — Identitätsmanagement
- A.5.17 — Authentifizierungsinformationen
- A.5.18 — Zugriffsrechte
- A.5.19 — IS in Lieferantenbeziehungen
- A.5.2 — Rollen und Verantwortlichkeiten
- A.5.20 — IS in Lieferantenvereinbarungen
- A.5.21 — IS in der IKT-Lieferkette
- A.5.22 — Überwachung von Lieferantendiensten
- A.5.23 — IS für Cloud-Dienste
- A.5.24 — Planung des Vorfallmanagements
- A.5.25 — Bewertung von IS-Ereignissen
- A.5.26 — Reaktion auf IS-Vorfälle
- A.5.27 — Lernen aus IS-Vorfällen
- A.5.28 — Sammlung von Beweismitteln
- A.5.29 — IS während einer Störung
- A.5.3 — Aufgabentrennung
- A.5.30 — IKT-Bereitschaft für Geschäftskontinuität
- A.5.31 — Rechtliche und vertragliche Anforderungen
- A.5.32 — Geistige Eigentumsrechte
- A.5.33 — Schutz von Aufzeichnungen
- A.5.34 — Datenschutz und Schutz von PII
- A.5.35 — Unabhängige Überprüfung der IS
- A.5.36 — Einhaltung von IS-Richtlinien
- A.5.37 — Dokumentierte Betriebsverfahren
- A.5.4 — Managementverantwortlichkeiten
- A.5.5 — Kontakt mit Behörden
- A.5.6 — Kontakt mit Interessengruppen
- A.5.7 — Bedrohungsintelligenz
- A.5.8 — IS im Projektmanagement
- A.5.9 — Inventar von Informationswerten
- A.6.1 — Sicherheitsüberprüfung
- A.6.2 — Beschäftigungsbedingungen
- A.6.3 — IS-Bewusstsein, -Bildung und -Schulung
- A.6.4 — Disziplinarverfahren
- A.6.5 — Pflichten nach Beschäftigungsende
- A.6.6 — Vertraulichkeitsvereinbarungen
- A.6.7 — Telearbeit
- A.6.8 — Meldung von IS-Vorfällen
- A.7.1 — Physische Sicherheitsgrenzen
- A.7.10 — Speichermedien
- A.7.11 — Unterstützende Versorgungsdienste
- A.7.12 — Sicherheit der Verkabelung
- A.7.13 — Ausrüstungswartung
- A.7.14 — Sichere Entsorgung oder Wiederverwendung
- A.7.2 — Physischer Zugang
- A.7.3 — Sichern von Büros, Räumen und Einrichtungen
- A.7.4 — Physische Sicherheitsüberwachung
- A.7.5 — Schutz vor physischen und umweltbedingten Bedrohungen
- A.7.6 — Arbeiten in sicheren Bereichen
- A.7.7 — Aufgeräumte Arbeitsumgebung und Bildschirmsperren
- A.7.8 — Platzierung und Schutz von Geräten
- A.7.9 — Sicherheit von Vermögenswerten außerhalb des Firmengeländes
- A.8.1 — Benutzerendgeräte
- A.8.10 — Informationslöschung
- A.8.11 — Datenmaskierung
- A.8.12 — Datenverlustprävention
- A.8.13 — Informationssicherung
- A.8.14 — Redundanz von Informationsverarbeitungseinrichtungen
- A.8.15 — Protokollierung
- A.8.16 — Überwachungsaktivitäten
- A.8.17 — Uhrensynchronisation
- A.8.18 — Verwendung privilegierter Dienstprogramme
- A.8.19 — Installation von Software auf Betriebssystemen
- A.8.2 — Privilegierte Zugriffsrechte
- A.8.20 — Netzwerksicherheit
- A.8.21 — Sicherheit von Netzwerkdiensten
- A.8.22 — Trennung von Netzwerken
- A.8.23 — Web-Filterung
- A.8.24 — Verwendung von Kryptographie
- A.8.25 — Sicherer Entwicklungslebenszyklus
- A.8.26 — Anwendungssicherheitsanforderungen
- A.8.27 — Sichere Systemarchitektur und Ingenieurprinzipien
- A.8.28 — Sicheres Programmieren
- A.8.29 — Sicherheitstests in Entwicklung und Abnahme
- A.8.3 — Einschränkung des Informationszugriffs
- A.8.30 — Ausgelagerte Entwicklung
- A.8.31 — Trennung von Entwicklungs-, Test- und Produktionsumgebungen
- A.8.32 — Änderungsmanagement
- A.8.33 — Testinformationen
- A.8.34 — Schutz bei Prüfungstests
- A.8.4 — Zugriff auf den Quellcode
- A.8.5 — Sichere Authentifizierung
- A.8.6 — Kapazitätsmanagement
- A.8.7 — Schutz vor Malware
- A.8.8 — Verwaltung technischer Schwachstellen
- A.8.9 — Konfigurationsmanagement