Prof. Dr. Rainer Rumpel : Wie man die Güte von Managementsystemen für Informationssicherheit misst

Hier finden Sie den Videomitschnitt zu diesem Vortrag auf dem Digital Science Match 2015. Prof. Rumpel forscht an der HWR über IT-Infrastrukturen mit dem Schwerpunkt Informationssicherheitsmanagement.

Prof. Dr. Rainer Rumpel
Prof. Dr. Rainer RumpelFoto: Oliver Elsner

Messen und Bewerten

ISO 9001, ISO 14001 und ISO/IEC 27001 (Informationssicherheitsmanagementsystem, kurz: ISMS) haben einen gemeinsamen Basistext:
... Kapitel 9: Bewertung der Leistung ... 9.1 Überwachung, Messung, Analyse und Bewertung ...

Video
Prof. Rainer Rumpel
Prof. Rainer Rumpel

ISO/IEC 27001: Die Organisation muss die Informationssicherheitsleistung (siehe Anhang der Norm) und die Wirksamkeit des ISMS (siehe Hauptteil der Norm) bewerten.

Das GQMS-Verfahren

Das Goal-Question-Metrik-Verfahren ist zielorientiert. Weiterhin werden Fragen als Bindeglied zwischen Ziel und Messgröße verwendet.

Beispiel: Handhabung von Sicherheitsvorfällen

-Ziel (siehe ISO/IEC 27001): Sicherheitsvorfälle werden so schnell wie möglich über geeignete Kanäle gemeldet.

-Frage_1: Welche Kanäle werden zur Meldung von Vorfällen genutzt?

-Messgröße_1: Anzahl der Kanäle

-Messwert auf trinärer Skala: 0 wenn 0 Kanäle; 0,5 wenn 1 Kanal; 1 wenn ≥ 2 Kanäle

Zur Person

Hochschule für Wirtschaft und Recht Berlin (HWR), Wirtschaftsinformatik

Rainer Rumpel ist Professor für Wirtschaftsinformatik am Fachbereich Duales Studium der Hochschule für Wirtschaft und Recht Berlin. 1997 promovierte er an der Humboldt-Universität Berlin. Schwerpunkt seiner Lehrtätigkeiten sind IT-Infrastrukturen, insbesondere Netzwerke und Betriebssysteme. Rumpel forscht hauptsächlich auf dem Gebiet des Informationssicherheitsmanagements.

Er ist Mitglied im DIN-Normenausschuss IT-Sicherheitsverfahren und prüft Unternehmen im Auftrag anerkannter Zertifizierungsstellen auf ihre Konformität mit der internationalen Norm ISO/IEC 27001. Er war mehrere Jahre lang als IT-Berater bei einem führenden deutschen Systemhaus tätig.

Links

www.hwr-berlin.de/fachbereich-duales-studium/lehrende/kontakt/rainer-rumpel

Schlagworte

ISMS
ISO 27001
Goal-Question-Metrik
Messen
Managementsystem