Knowledgebase
Helpdesk
Knowledgebase
Helpdesk
Erste Schritte + Grundlagen
Grundfunktionen
Assets + Organisation
Datenschutz
Informationssicherheit
Technische und Organisatorische Maßnahmen (TOM)
ModulüberblickTOM anlegen und Stammdaten pflegenTOM-Wirksamkeit prüfen und messen
Personal + Schulung
FAQ + Troubleshooting

TOM-Wirksamkeit prüfen und messen

Technische und Organisatorische Maßnahmen (TOM)

Technische und Organisatorische Maßnahmen sollen regelmäßig überwacht und ihre Wirksamkeit und Angemessenheit bewertet werden. Für jede TOM können Sie Messgegenstand, Messmethode, Zielwert, Schwellenwerte (Grün, Gelb, Rot) und Mess- bzw. Prüfturnus definieren. Das System bewertet Messergebnisse automatisch, eskaliert bei Schwellenwert-Überschreitung und erzeugt Aufgaben bei überfälligen Messungen.

In 5 Minuten erledigt

  • Maßnahme öffnen, Tab Wirksamkeit wählen.
  • Toggle Wirksamkeitsüberwachung aktivieren anschalten.
  • Messgegenstand, Messmethode und Messtyp (Numerisch, Binär, Text, Qualitativ, Keine Messung) festlegen.
  • Bei numerisch: Zielwert, Einheit, Richtung und Schwellenwerte Grün und Gelb.
  • Messturnus und Verantwortlich (Messung) setzen, speichern.

Wann brauchen Sie das?

  • Bei zertifizierungsrelevanten Maßnahmen, deren Wirksamkeit Sie im Audit belegen müssen.
  • Wenn Sie Key Performance Indikatoren für das Managementsystem definieren (zum Beispiel Phishing-Klickrate, Patch-Compliance, Backup-Erfolgsquote).
  • Wenn eine bestehende Maßnahme nachweisbar nicht mehr greift und Sie das Frühwarnsystem brauchen.
  • Bei Maßnahmen mit klaren Zielwerten (Verfügbarkeit, Wiederanlaufzeit, Schulungsquote).
  • Wenn Sie Risiken mit TOM senken wollen. Stichwort: Risikobehandlungsplan

Schritt für Schritt

  1. Öffnen Sie die Maßnahme und wechseln Sie in den Tab Wirksamkeit.
  2. Aktivieren Sie den Schalter Wirksamkeitsüberwachung aktivieren. Die Eingabefelder werden sichtbar.
  3. Beschreiben Sie den Messgegenstand konkret. Beispiel: "Anteil der Mitarbeiter, die das jährliche Phishing-Training erfolgreich abgeschlossen haben."
  4. Definieren Sie die Messmethode. Beispiel: "Auszug aus dem Lern-Management-System pro Quartal, gefiltert nach Abschluss-Datum."
  5. Wählen Sie den Messtyp:
    • Numerisch für Zahlen oder Prozente.
    • Binär (Ja/Nein) für reine Erfüllt-Bewertungen.
    • Text für qualitative Aussagen.
    • Qualitativ für mehrstufige Skalen.
    • Keine Messung wenn die Maßnahme nicht messbar ist (dann nur Prüfung).
  7. Bei numerischer Messung: Tragen Sie Zielwert, Einheit und die Richtung ein (Höher = Besser oder Niedriger = Besser).
  8. Definieren Sie die Schwellenwerte:
    • Grün - Zielbereich, alles in Ordnung.
    • Gelb - Warnzone, Beobachtung nötig.
    • Werte außerhalb beider Bereiche zählen automatisch als Rot.
  10. Setzen Sie den Messturnus (Täglich, Wöchentlich, Monatlich, Quartalsweise, Jährlich, Individuell) und die Verantwortlich (Messung).
  11. Speichern.


Tipp: Wirksamkeitsmessungen lohnen sich vor allem bei zertifizierungsrelevanten Maßnahmen. Für jede TOM eine Messung anzulegen führt zu Über-Pflege und entwertet die echten KPIs

Wirksamkeit prüfen

  1. Fügen Sie ein neue Messung hinzu und erfassen Sie die Durchführungsdaten
  2. Fügen Sie eine neue Wirksamkeitsprüfung hinzu und ergänzen SIe Ihre Beurteilung der Wirksamkeit.
  3. Speichern.

  4. Die letzte erfolgte Wirksamkeitsprüfung legt das Ergbnis in der folgenden Anzeige fest.



Messtypen und Beispiele

Messtyp

Anwendung

Beispiel

Numerisch

Zahlen, Prozente

Phishing-Klickrate, Patch-Quote, Backup-Erfolgsquote

Binär

Ja/Nein-Aussagen

"Awareness-Schulung im Berichtsjahr durchgeführt"

Text

Qualitative Aussage

"Penetrationstest-Bericht beschreibt Schwachstellen"

Qualitativ

Mehrstufige Skala

"Reifegrad RBAC: Initial, Definiert, Gemanagt, Optimiert"

Keine Messung

Reine Prüfung

Konzeptmaßnahmen ohne quantifizierbare Wirkung

Schwellenwert-Logik

Bei numerischen Messungen definieren Sie zwei Schwellen plus die Richtung:

Richtung

Beispiel

Grün-Schwelle

Gelb-Schwelle

Rot

Höher = Besser

Backup-Erfolg

>= 95 Prozent

85-95 Prozent

< 85 Prozent

Niedriger = Besser

Phishing-Klickrate

<= 5 Prozent

5-10 Prozent

> 10 Prozent

Bei Schwellenwert-Überschreitung erzeugt das System automatisch eine Aufgabe an den Maßnahmen-Verantwortlichen mit Eskalations-Hinweis.

Prüfturnus

Der Messturnus entscheidet, wie oft eine Messung erwartet wird. Überfällige Messungen lösen Auto-Aufgaben an den Verantwortlichen aus.

Turnus

Anwendung

Täglich

Operative IT-KPIs (Backup, Patch-Quote)

Wöchentlich

Phishing-Tests, Vorfalls-Statistik

Monatlich

Berechtigungs-Reviews, Schulungs-Quoten

Quartalsweise

Wirksamkeits-Tests für Standard-TOM

Jährlich

Awareness-Programme, Penetrationstests

Individuell

Sondermaßnahmen mit eigenen Zyklen

Wirksamkeits-Historie und Audit

Die erfassten Messungen werden im Verlauf-Tab dokumentiert. Im SOA-Export und im Management-Review-Report erscheinen die letzten Messungen und der aktuelle Status (Grün, Gelb, Rot). Im Audit liefert die Historie den Wirksamkeits-Beleg nach ISO 27001 Kap. 9.1.

Häufige Stolperfallen

  • Zu viele Wirksamkeitsmessungen: Für jede TOM eine Messung anzulege, erzeugt zu viele automatische Aufgaben. Wir empfehlen, den Fokus auf zertifizierungsrelevante oder risikorelevante TOM zu richten.
  • Schwellenwerte unrealistisch: Eine Zielquote von 100 Prozent ist nicht haltbar. Lieber realistische Werte mit Eskalations-Schwellen.
  • Messmethode zu vage: "Wird quartalsweise geprüft" genügt nicht, eine Konkrete Quelle (System, Bericht) sollte angegeben werden.
  • Verantwortlich Messung leer: Ohne zugewiesene Person läuft die Auto-Aufgabe ins Leere.
  • Numerisch und Richtung nicht zusammen: Wenn "Höher = Besser" ausgewählt ist , sollte auch eine entsprechende Schwelle gesetzt sein.

Häufig gestellte Fragen

Muss ich für jede Maßnahme die Wirksamkeit messen?

Nein. Wirksamkeitsüberwachung lohnt sich bei zertifizierungsrelevanten oder aktiv im RIsikomanagement eingebundenen Maßnahmen, bei klaren KPIs und bei Maßnahmen mit Eskalationsbedarf. Bei einfachen technischen und organisatorischen Maßnahmen reicht eine periodische Prüfung ohne Messreihe.

Was passiert bei einer Schwellenwert-Überschreitung?

Das System markiert die Maßnahme Rot und erzeugt eine Auto-Aufgabe an den Verantwortlichen. Im Dashboard erscheint die Überschreitung als Eskalation.

Wie unterscheide ich "Messung" und "Prüfung"?

Messung liefert einen quantifizierbaren Wert (Zahl, Prozent, Skala). Prüfung ist eine qualitative Bewertung ohne Messwert (zum Beispiel "Konzept geprüft und für angemessen befunden"). Beide werden im Tab Wirksamkeit konfiguriert - bei Prüfung wählen Sie Messtyp "Keine Messung".

Wer trägt die Messergebnisse ein?

Der Maßnahmen-Verantwortliche oder eine separat benannte Mess-Verantwortliche. Über die Auto-Aufgabe bekommen sie eine Erinnerung.

Was passiert mit alten Messungen, wenn ich die Definition ändere?

Die Historie bleibt erhalten. Bei Schwellenwert-Änderungen kann der Status alter Messungen sich neu berechnen - prüfen Sie nach jeder Definitions-Änderung.

Wie binde ich die Wirksamkeit ins Management-Review ein?

Im Management-Review-Report-Export werden die aktuellen Wirksamkeits-Stände aller überwachten TOM aufgeführt. Das ist ein zentraler Input für die jährliche ISO-27001-Management-Bewertung.

Was tue ich, wenn keine Messung möglich ist?

Wählen Sie Messtyp "Keine Messung" und definieren Sie stattdessen einen Prüfturnus. Pro Prüfung dokumentieren Sie ein qualitatives Ergebnis.

Verwandte Artikel


War dieser Artikel hilfreich?

Powered by Product Fruits
Impressum | Datenschutzerklärung