G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen

Nach der Einführung von Maßnahmen, die der Sicherheit der Informationsverarbeitung dienen ( z. B. Klassifizierung von Informationen, Datensicherung, Zutrittskontrolle, Vorgaben für Verhalten bei Notfällen), müssen diese auch konsequent umgesetzt werden. Finden keine oder nur unzureichende Kontrollen der Sicherheitsmaßnahmen statt, wird weder deren Missachtung noch ihre effektive Wirksamkeit festgestellt. Eine rechtzeitige und der jeweiligen Situation angemessene Reaktion wird dadurch verhindert.

Darüber hinaus gibt es Sicherheitsmaßnahmen, die nur mit der Durchführung entsprechender Kontrollen ihre Wirkung entfalten. Hierzu zählen beispielsweise Protokollierungsfunktionen, deren Sicherheitseigenschaften erst mit der Auswertung der Protokolldaten zum Tragen kommen.

Beispiele: