Informationssicherheitsziele
ISMS Copilot legt messbare Informationssicherheitsziele fest, die an unserer Informationssicherheitsrichtlinie ausgerichtet sind, durch Ergebnisse der Risikobewertung gestützt werden und gegen definierte Zielvorgaben abgeglichen werden. Jedes Ziel folgt der Struktur von ISO 27001 Klausel 6.2: was getan wird, welche Ressourcen erforderlich sind, wer verantwortlich ist, wann es abgeschlossen wird und wie die Ergebnisse bewertet werden.
Der Fortschritt der Ziele wird vierteljährlich von den Zieleigentümern überprüft und im Rahmen der jährlichen Managementbewertung gemeldet.
OBJ-001: Erreichen der ISO 27001-Zertifizierung
Feld | Wert |
|---|---|
Kategorie | Compliance |
Eigentümer | CEO |
Ziel | Erhalt der ISO 27001:2022-Zertifizierung durch eine akkreditierte Stelle |
Frist | Q4 2026 |
Messung | Zertifizierung erteilt |
Status | In Arbeit |
Wichtige Meilensteine:
Abschluss der ISMS-Dokumentation (Klauseln 4-10) — Q1 2026 (in Arbeit)
Abschluss der Erklärung zur Anwendbarkeit (SoA) — Q1 2026 (abgeschlossen)
Abschluss des Risikoregisters und der Risikobehandlung — Q1 2026 (abgeschlossen)
Durchführung des internen Audits — Q2 2026
Durchführung der Managementbewertung — Q2 2026
Stufe-1-Audit (Dokumentenprüfung) — Q3 2026
Stufe-2-Audit (Implementierungsprüfung) — Q4 2026
OBJ-002: Keine mandantenübergreifende Datenexposition
Feld | Wert |
|---|---|
Kategorie | Vertraulichkeit |
Ziel | Null Vorfälle von unbefugtem mandantenübergreifendem Datenzugriff |
Frist | Laufend (jährliche Messung) |
Messung | Anzahl der bestätigten Vorfälle mandantenübergreifender Datenexposition pro Jahr = 0 |
Status | Erreicht (bisher 0 Vorfälle) |
Kontrollen, die dieses Ziel unterstützen:
Row-Level Security (RLS) Richtlinien für alle Benutzerdatentabellen
Explizite Validierung der Eigentümerschaft im Backend-Chat-Dienst
Automatisierte Sicherheits-Test-Suite
Anforderung zur Code-Review für alle Änderungen
OBJ-003: Plattform-Resilienz und Verfügbarkeit
Feld | Wert |
|---|---|
Kategorie | Verfügbarkeit / Business Continuity |
Ziel | Die Plattform arbeitet zuverlässig, ohne dass manuelle Eingriffe erforderlich sind |
Frist | Q2 2026 |
Messung | Support-Anfragen, die ein menschliches Eingreifen während definierter Testzeiträume erfordern |
Status | In Arbeit |
OBJ-004: Schwachstellenbehebung innerhalb der SLA
Feld | Wert |
|---|---|
Kategorie | Sicherheit |
Ziel | Alle Schwachstellen innerhalb der definierten SLAs behoben |
Frist | Laufend (vierteljährliche Messung) |
Messung | Prozentsatz der innerhalb der Zielvorgabe behobenen Mängel: Kritisch 24h, Hoch 7t, Mittel 30t, Niedrig 90t |
Ziel % | 100% für Kritisch/Hoch; 90% für Mittel/Niedrig |
Status | Aktiv |
Unsere SLA-Ziele für Schwachstellen entsprechen den Best Practices der Branche: Kritische Schwachstellen werden am selben Tag behoben, hohe innerhalb einer Woche, mittlere innerhalb von 30 Tagen und niedrige innerhalb von 90 Tagen.
OBJ-005: Einhaltung der Service-Verfügbarkeitsvorgabe
Feld | Wert |
|---|---|
Kategorie | Verfügbarkeit |
Ziel | 99,5% Verfügbarkeit für Kerndienste (Chat, Authentifizierung, Datenbank) |
Frist | Laufend (monatliche Messung) |
Messung | Monatlicher Verfügbarkeitsprozentsatz aus dem BetterStack-Monitoring |
Status | Aktiv |
OBJ-006: Durchführung vierteljährlicher Zugriffsüberprüfungen
Feld | Wert |
|---|---|
Kategorie | Zugangskontrolle |
Ziel | 100% termingerechter Abschluss der vierteljährlichen Zugriffsüberprüfungen |
Frist | Laufend (vierteljährliche Messung) |
Messung | Datierte, ausgefüllte Prüfchecklisten |
Status | Aktiv |
OBJ-007: Aufrechterhaltung der AI-Provider-Failover-Fähigkeit
Feld | Wert |
|---|---|
Kategorie | Resilienz |
Ziel | Automatisches Failover wird innerhalb von 60 Sekunden nach Ausfall des Standard-Providers aktiviert |
Frist | Laufend (vierteljährlicher Test) |
Messung | Ergebnisse des Failover-Tests (Zeit bis zur Aktivierung, Auswirkungen auf den Benutzer während des Wechsels) |
Status | Aktiv — Circuit Breaker implementiert |
Alle sieben Ziele werden aktiv verfolgt. Zwei Ziele sind vollständig erreicht (keine mandantenübergreifende Exposition, AI-Failover-Fähigkeit), drei sind laufende Ziele mit aktiver Messung und zwei befinden sich auf dem Weg zu definierten Meilensteinen.
Rhythmus der Zielüberprüfung
Aktivität | Häufigkeit |
|---|---|
Überprüfung des Fortschritts der Ziele | Vierteljährlich |
Messung und Berichterstattung der Ziele | Vierteljährlich |
Festlegung der Ziele für den nächsten Zeitraum | Jährlich |
Abgleich mit den Ergebnissen der Risikobewertung | Nach jeder Risikoprüfung |