M 6.68 Effizienzprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Revisor

Das Managementsystem zur Behandlung von Sicherheitsvorfällen muss regelmäßig auf seine Aktualität und Wirksamkeit geprüft werden. Daneben sollten auch die darin formulierten Maßnahmen regelmäßig daraufhin getestet werden, ob sie

Um die Wirksamkeit zu testen, sollte durch simulierte Schadensereignisse überprüft werden, ob der festgelegte Handlungsablauf eingehalten wird bzw. überhaupt eingehalten werden kann. Ist er das nicht, müssen entsprechende Änderungen eingebracht werden.

Dazu könnten sowohl angekündigte als auch unangekündigte Übungen durchgeführt werden.

Bei allen unangekündigten Übungen dürfen auf keinen Fall irgendwelche Aktionen ausgelöst werden, die zu irgendeinem nicht oder nur schwer behebbaren Schaden an IT-Systemen, Daten oder sonstigem führen können. Ebenso sollten Geschäftsprozesse und der IT-Betrieb so wenig wie möglich beeinträchtigt werden.

Sehr genau sollte vor dem Beginn jeder Übung überlegt werden, wer alles vorab darüber informiert wird. Es ist immer unbedingt sicherzustellen, dass die Übung durch die Behörden- bzw. Unternehmensleitung autorisiert ist. Manchmal kann es nützlich sein, bestimmte Personengruppen nicht zu informieren, z. B. die Pförtner oder die Administratoren. Es sollte aber sichergestellt sein, dass dabei die Situation unter Kontrolle bleibt. Es sollte also vermieden werden, dass z. B. Polizei oder Feuerwehr alarmiert oder alle Netzverbindungen der Behörde bzw. des Unternehmens gekappt werden.

Beispiele:

Ein weiterer Aspekt der Effizienzprüfung ist die Auswertung von Messgrößen, die beispielsweise während der Aufnahme, Meldung und Eskalation von Sicherheitsvorfällen anfallen können. So lassen sich zum Beispiel die Zeiträume von der Erstmeldung zur Eskalation und verbindlichen Bestätigung eines Sicherheitsvorfalls aufnehmen und nach einer Auswertung optimieren. Findet die Meldung eines Sicherheitsvorfalls am zentralen Service Desk statt, können die dort bereits vorhandenen Mechanismen zur Effizienzmessung herangezogen und im Nachhinein bewertet werden.

Prüffragen: