Clause 6.2 verlangt, dass dein ISMS dokumentierte Informationssicherheitsziele hat — und dass du planst, wie du sie erreichst. Das Register der Sicherheitsziele ist der Ort, an dem Ziel, Messgröße, Verantwortung und Frist zusammenlaufen. Ohne dieses Register bleibt Informationssicherheit eine Absicht ohne Richtung.
Was enthält das Register?
Die Vorlage bildet die Anforderungen aus Clause 6.2 direkt in Spalten ab:
- Ziel — was soll erreicht werden? (z.B. Reduktion der mittleren Wiederherstellungszeit auf < 4 Stunden)
- Bezug zur Richtlinie — welches Prinzip der Informationssicherheitsrichtlinie unterstützt dieses Ziel?
- Messgröße / KPI — woran wird der Fortschritt gemessen? (z.B. MTTR in Stunden, Schulungsquote in Prozent)
- Zielwert — welcher Wert soll erreicht werden?
- Verantwortliche Person — wer treibt die Zielerreichung?
- Ressourcen — was wird benötigt? (Budget, Personal, Tools)
- Frist — bis wann soll das Ziel erreicht sein?
- Status — aktueller Erfüllungsgrad
So nutzt du die Vorlage
1. Ziele formulieren. Leite sie aus drei Quellen ab: der Informationssicherheitsrichtlinie (Clause 5.2), der Risikobewertung (Clause 6.1) und den Anforderungen interessierter Parteien (Clause 4.2). Jedes Ziel sollte einen klaren Bezug zu mindestens einer dieser Quellen haben.
2. Messgrößen definieren. Für jedes Ziel: Welcher KPI zeigt den Fortschritt? Verfügbarkeit in Prozent, Anzahl der Sicherheitsvorfälle, mittlere Reaktionszeit, Schulungsquote, Patch-Zykluszeit. Wähle Messgrößen, die du tatsächlich erheben kannst — mit den Daten, die dir zur Verfügung stehen.
3. Verantwortlichkeiten und Fristen setzen. Ein Ziel ohne verantwortliche Person und ohne Frist ist ein Wunsch. Jede Zeile im Register braucht beides.
4. Im Management-Review vorstellen. Clause 9.3 verlangt, dass die Ergebnisse der Sicherheitsziele im Management-Review behandelt werden. Das Register ist die Grundlage für diese Diskussion — bringe es aktualisiert mit.
5. Jährlich anpassen. Ziele, die erreicht sind, werden durch neue ersetzt. Ziele, die verfehlt wurden, werden analysiert: Lag es an den Ressourcen, am Zielwert oder an der Umsetzung? Diese Analyse gehört ins Management-Review-Protokoll.
| ID | Ziel | Verknüpfte ISO-Klausel / Risiko | Verantwortlich | Messgröße | Baseline (Jahresanfang) | Zielwert | Messfrequenz | Aktueller Wert | Status | Prüfdatum | Verknüpfte Maßnahme | |||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| OBJ-2026-01 | Phishing-Simulations-Klickrate unter 5 % senken | ISO 6.2 + R-002 | ISB | % Mitarbeitende | die simuliertes Phishing anklicken | 5 | 8 % (2025-12) | <5 % bis 2026-12-31 | Quartalsweise | 4 | 2 % (2026-Q1) | |||
| OBJ-2026-02 | 100 % phishing-resistente MFA für alle Admin-Konten erreichen | ISO 6.2 + R-001 + R-002 | ISB | % Admin-Konten mit FIDO2 | 0 % (2025-12) | 100 % bis 2026-06-30 | Monatlich | 48 % (2026-04) | Auf Kurs | 2026-06-30 | RTP-001 | |||
| OBJ-2026-03 | FIDO2 für alle Mitarbeitenden ausrollen | ISO 6.2 + R-002 | ISB | % Mitarbeitende mit FIDO2 ausgestattet | 0 % (2025-12) | 100 % bis 2026-09-30 | Monatlich | 12 % (2026-04) | Auf Kurs | 2026-09-30 | RTP-004 | |||
| OBJ-2026-04 | Alle kritischen und hohen Schwachstellen in zwei aufeinanderfolgenden Quartalen innerhalb SLA schließen | ISO 6.2 + A.8.8 | IT-Betriebsleitung | % Schwachstellen innerhalb SLA geschlossen | 89 % (2025-Q4) | 100 % in 2026-Q3 und Q4 | Monatlich | 92 % (2026-Q1) | Hinter Plan | 2026-09-30 | CAPA-2026-004 | |||
| OBJ-2026-05 | Externes Überwachungsaudit ohne schwerwiegende Feststellungen bestehen | ISO 9.2 + 9.3 | ISB | Anzahl schwerwiegender Feststellungen | 1 (Audit 2025) | 0 in 2026 | Jährlich | Audit ausstehend | Ausstehend | 2026-05-18 | ||||
| OBJ-2026-06 | Awareness-Schulungs-Abschlussquote auf über 95 % erhöhen | A.6.3 | HR-Leitung | % Mitarbeitende | die jährliches Awareness-Training abschließen | 93 % (2025) | >95 % bis 2026-12-31 | Quartalsweise | 96 % (2026-Q1) | Erreicht | 2026-12-31 | |||
| OBJ-2026-07 | Mean Time to Detect (MTTD) für Sicherheitsvorfälle unter 2 Stunden senken | ISO 6.2 + A.5.25 | ISB | Stunden vom Vorfall bis zur Erkennung (Median) | 2 h 45 min (2025) | <2 h bis 2026-12-31 | Quartalsweise | 1 h 35 min (2026-Q1) | Erreicht | 2026-12-31 | ||||
| OBJ-2026-08 | Zweiten Logistik-SaaS-Anbieter als Standby qualifizieren | R-004 + A.5.30 | Einkauf | Anbieter qualifiziert (ja/nein) | Nein | Ja bis 2026-12-31 | Quartalsweise | Anbieter-Shortlist vereinbart | Auf Kurs | 2026-12-31 | RTP-008 | |||
| OBJ-2026-09 | 100 % Lieferanten-Sicherheitsprüfung für kritische Lieferanten erreichen | A.5.22 | Einkauf | % kritische Lieferanten innerhalb 12 Monaten geprüft | 80 % (2025) | 100 % bis 2026-12-31 | Quartalsweise | 92 % (2026-Q1) | Auf Kurs | 2026-12-31 | ||||
| OBJ-2026-10 | Zwei BCM-Übungen pro Jahr für kritische Prozesse durchführen | A.5.29 + A.5.30 | BCM-Leitung | Anzahl Übungen pro Jahr | 1 (2025) | 2 bis 2026-12-31 | Jährlich | 1 abgeschlossen (2026-Q2) | Auf Kurs | 2026-12-31 |
| ID | Objective | Linked ISO Clause / Risk | Owner | Metric | Baseline (start of year) | Target | Measurement Frequency | Current Value | Status | Review Date | Linked Action |
|---|---|---|---|---|---|---|---|---|---|---|---|
| OBJ-2026-01 | Reduce phishing simulation click rate below 5% | ISO 6.2 + R-002 | ISO | % of users clicking simulated phishing | 5.8% (2025-12) | <5% by 2026-12-31 | Quarterly | 4.2% (2026-Q1) | On track | 2026-06-30 | RTP-005 |
| OBJ-2026-02 | Achieve 100% phishing-resistant MFA for all admin accounts | ISO 6.2 + R-001 + R-002 | ISO | % of admin accounts on FIDO2 | 0% (2025-12) | 100% by 2026-06-30 | Monthly | 48% (2026-04) | On track | 2026-06-30 | RTP-001 |
| OBJ-2026-03 | Roll out FIDO2 to all staff | ISO 6.2 + R-002 | ISO | % of users with FIDO2 enrolled | 0% (2025-12) | 100% by 2026-09-30 | Monthly | 12% (2026-04) | On track | 2026-09-30 | RTP-004 |
| OBJ-2026-04 | Close all critical and high vulnerabilities within SLA for two consecutive quarters | ISO 6.2 + A.8.8 | IT Operations Lead | % of vulns closed within SLA | 89% (2025-Q4) | 100% in 2026-Q3 and Q4 | Monthly | 92% (2026-Q1) | Behind | 2026-09-30 | CAPA-2026-004 |
| OBJ-2026-05 | Pass external surveillance audit with no major findings | ISO 9.2 + 9.3 | ISO | Number of major findings | 1 (2025 audit) | 0 in 2026 | Annual | Pending audit | Pending | 2026-05-18 | |
| OBJ-2026-06 | Increase awareness training completion above 95% | A.6.3 | HR Lead | % of staff completing annual awareness training | 93% (2025) | >95% by 2026-12-31 | Quarterly | 96% (2026-Q1) | Achieved | 2026-12-31 | |
| OBJ-2026-07 | Reduce mean time to detect (MTTD) for security incidents below 2 hours | ISO 6.2 + A.5.25 | ISO | Hours from incident occurrence to detection (median) | 2h 45min (2025) | <2h by 2026-12-31 | Quarterly | 1h 35min (2026-Q1) | Achieved | 2026-12-31 | |
| OBJ-2026-08 | Qualify a second logistics SaaS provider as standby | R-004 + A.5.30 | Procurement | Provider qualified (yes/no) | No | Yes by 2026-12-31 | Quarterly | Vendor shortlist agreed | On track | 2026-12-31 | RTP-008 |
| OBJ-2026-09 | Achieve 100% supplier security review coverage for critical suppliers | A.5.22 | Procurement | % of critical suppliers reviewed within 12 months | 80% (2025) | 100% by 2026-12-31 | Quarterly | 92% (2026-Q1) | On track | 2026-12-31 | |
| OBJ-2026-10 | Run two BCM exercises per year for critical processes | A.5.29 + A.5.30 | BCM Lead | Number of exercises per year | 1 (2025) | 2 by 2026-12-31 | Annual | 1 completed (2026-Q2) | On track | 2026-12-31 |
Quellen
- ISO/IEC 27001:2022 Clause 6.2 — Informationssicherheitsziele und Planung zu deren Erreichung
- ISO/IEC 27001:2022 Clause 9.3 — Managementbewertung