(nach ISO/IEC 27001:2022)

Informationssicherheitsziele übersetzen die strategischen Vorgaben der Organisation in konkrete, messbare Zielsetzungen. Sie geben die Richtung für Maßnahmen, Prioritäten und Ressourcen vor und ermöglichen eine gezielte Steuerung des Informationssicherheitsmanagementsystems (ISMS). Diese Klausel stellt sicher, dass Informationssicherheitsziele definiert, geplant, überwacht und erreicht werden.

Zweck der Klausel

Klausel 6.2 soll gewährleisten, dass die Organisation geeignete Informationssicherheitsziele festlegt, die mit der Informationssicherheitspolitik und den strategischen Zielen der Organisation im Einklang stehen. Ziel ist es, die kontinuierliche Verbesserung der Informationssicherheit durch konkrete, überprüfbare Zielsetzungen zu unterstützen.

Anforderungen und Maßnahmen

1. Festlegung von Informationssicherheitszielen

Die Organisation muss Informationssicherheitsziele festlegen, die:

• mit der Informationssicherheitspolitik vereinbar sind
• messbar oder überprüfbar formuliert sind
• relevante Risiken und Chancen berücksichtigen
• den Schutzbedarf der Informationen widerspiegeln

Die Ziele müssen auf geeigneten Ebenen definiert werden.

2. Berücksichtigung relevanter Anforderungen

Bei der Zieldefinition müssen relevante Anforderungen berücksichtigt werden:

• Ergebnisse der Risikoanalyse
• rechtliche, regulatorische und vertragliche Vorgaben
• Anforderungen interessierter Parteien
• strategische und operative Rahmenbedingungen

So wird die Relevanz der Ziele sichergestellt.

3. Planung der Zielerreichung

Für jedes Informationssicherheitsziel muss geplant werden:

• welche Maßnahmen umgesetzt werden
• welche Ressourcen benötigt werden
• wer verantwortlich ist
• welcher Zeitrahmen gilt

Eine strukturierte Planung erhöht die Erfolgschancen.

4. Integration in das ISMS

Die Informationssicherheitsziele müssen in das ISMS integriert werden:

• Berücksichtigung in Prozessen und Verfahren
• Abstimmung mit Risikobehandlungsmaßnahmen
• Einbindung in operative Abläufe
• Verknüpfung mit Kennzahlen und Überwachung

So werden Ziele wirksam umgesetzt.

5. Festlegung von Kennzahlen und Bewertungskriterien

Zur Überwachung der Zielerreichung müssen Kriterien definiert werden:

• messbare Kennzahlen (KPIs)
• qualitative Bewertungskriterien
• Soll- und Ist-Vergleiche
• Toleranzgrenzen

Dies ermöglicht objektive Bewertung.

6. Überwachung und Bewertung der Zielerreichung

Die Organisation muss die Zielerreichung überwachen:

• regelmäßige Überprüfung der Fortschritte
• Dokumentation der Ergebnisse
• Analyse von Abweichungen
• Ableitung von Korrekturmaßnahmen

So wird die Steuerung des ISMS unterstützt.

7. Kommunikation der Ziele

Informationssicherheitsziele müssen kommuniziert werden:

• an relevante interne Rollen
• im Rahmen von Schulungen und Awareness-Maßnahmen
• gegenüber der Führungsebene
• bei Bedarf gegenüber externen Parteien

Kommunikation erhöht Akzeptanz und Mitwirkung.

8. Überprüfung und Aktualisierung der Ziele

Die Ziele müssen regelmäßig überprüft werden:

• im Rahmen von Managementbewertungen
• bei Änderungen von Risiken oder Anforderungen
• bei strategischen oder organisatorischen Veränderungen
• zur Förderung der kontinuierlichen Verbesserung

So bleiben die Ziele relevant und wirksam.

Zusammenfassung

Klausel 6.2 fordert, dass Organisationen Informationssicherheitsziele festlegen und die Planung zu deren Erreichung systematisch durchführen. Durch klar definierte, messbare Ziele, strukturierte Planung, regelmäßige Überwachung und Anpassung wird sichergestellt, dass das Informationssicherheitsmanagementsystem gezielt gesteuert und kontinuierlich verbessert wird. Diese Klausel ist ein zentrales Bindeglied zwischen Strategie, Risiko­management und operativer Umsetzung im ISMS nach ISO/IEC 27001:2022.