Managementsysteme sind Balance-Systeme - Diskussion relevanter Kennzahlen eines ISMS gemäß ISO/IEC 27001: 2005

Die ISO27001:2005 als Informationssicherheitsmanagementsystem (ISMS) etabliert sich zunehmend als der Sicherheitsstandard in Unternehmen. Die Grundidee des ISMS basiert auf einem Management der Informationssicherheit welches ausgerichtet ist auf dem Management der Unternehmensrisiken und einen direkten Bezug zum Firmenumsatz herstellt. Bis September 2009 wurden weltweit mehr als 5822 1 zertifizierte Unternehmen registriert. Zu berücksichtigen bleibt aber, dass diese Zertifizierung nichts über Güte und Performance eines ISMS2 aussagt. Zur kontinuierlichen Verbesserung des ISMS kann der Plan-Do-CheckAct-Zyklus (PDCA-Zyklus) und für vorbeugenden und korrigierenden Maßnahmen die Norm selbst herangezogen werden; es sind aber keine Messmethoden3 vorhanden, mit denen Aussagen über die Abschätzung der Güte eines ISMS getroffen werden können. In diesem Artikel wird eine Methode zur Messung der Qualität (Performance) eines ISMS vorgeschlagen und der Zielkonflikt zwischen Effektivität und Effizienz diskutiert. In den folgenden Abschnitten dieses Beitrages wird behandelt: die relevante Literatur, die zu beantwortende Forschungsfrage, die Systemgrenzen, die Effektivität und Effizienz als Regelgrößen, die Balance-Matrix sowie der Zielkonflikt zwischen Effektivität und Effizienz. Der Beitrag endet sodann mit