Zusammenfassung
„Ich frage nach Äpfeln, und du antwortest mir von Birnen“ so lauten vereinzelt Aussagen des Managements an den Informationssicherheitsverantwortlichen, wenn es um die Frage des Informationssicherheits-Status eines Unternehmens geht. Wird diese Frage dazu noch im Konzern-Kontext mit mehreren Unternehmen gestellt, fällt die Antwort des Managements noch deutlicher aus. Warum? Der Informationssicherheits-Status eines Unternehmens ist nur indirekt z. B. mithilfe von Kennenzahlen oder Metriken messbar. Diese Näherung ist notwendig, da bisher noch kein Gold-Standard hierfür existiert. Um eine Schätzung zu erhalten, muss man also zuverlässige Messungen finden. Eine Möglichkeit, die Informationssicherheit zu bewerten, besteht darin, ein Reifegradmodell anzuwenden und das Niveau der Kontrollen zu bewerten. Dies muss nicht zwingend dem Sicherheitsniveau entsprechen. Dennoch ist die Bewertung des Reifegrads der Informationssicherheit in Unternehmen seit Jahren eine große Herausforderung. Obwohl viele Studien durchgeführt wurden, um diese Herausforderungen zu bewältigen, fehlt es immer noch an Forschung, um diese Bewertungen richtig zu analysieren. Das Hauptziel dieses Ansatzes ist es, zu zeigen, wie man den Analytic Hierarchy Process (AHP) verwendet, um den Reifegrad der Informationssicherheit innerhalb einer Branche mit verschiedenen Unternehmen zu vergleichen. Um diesen Ansatz zu validieren werden Daten von einem großen international agierenden Medien- und Technologieunternehmen verwendet.
Schlüsselwörter
- Analytic Hierarchy Process
- AHP
- Multikriterielle Entscheidungsanalysemethode
- MCDM
- Kennzahlen
- Metriken
- Informationssicherheit
- Reifegrad
- E-commerce
This is a preview of subscription content, access via your institution.
Buying options
Tax calculation will be finalised at checkout
Purchases are for personal use only
Learn about institutional subscriptionsLiteratur
Abbas Ahmed RK (2016) Security metrics and the risks: an overview. Int J Comput Trends and Technol 41(2):106–112
Al-shameri AAN (2017) Hierarchical multilevel information security gap analysis models based on ISO/IEC 27001: 2013. Int J Sci Res Multidiscip Stud 3(11):14–23
Anderson R, Barton C, Böhme R, Clayton R, van Eeten MJ, Levi M, Moore T, Savage S (2013) Measuring the cost of cybercrime. The Economics of Information Security and Privacy. Springer, Berlin Heidelberg, S 265–300
Axelrod CW (2008) Accounting for Value and Uncertainty in Security Metrics. Inf Sys Control J 6:1–6
Bodin LD, Gordon LA, Loeb MP (2005) Evaluating information security investments using the analytic hierarchy process. Commun ACM 48(2):78–83
Böhme R (2010) Security metrics and security investment models. In: Lecture Notes in Computer Science (including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics) 6434 (LNCS): 10–24
Choo KK, Mubarak S, Mani D et al. (2014) Selection of information security controls based on AHP and GRA. Paci c Asia Conference on Information Systems 1 (Mcdm), 1–12
Eisenführ F, Weber M (2003) Rationales Entscheiden (4. Aufl.). Springer, Berlin
La Gordon, Loeb MP (2002) The economics of information security investment. ACM Trans Inf Syst Secur 5(4):438–457
Haufe K (2017) Maturity based approach for ISMS. Ph.D. thesis, University Madrid
Ishizaka A, Labib A (2011) Review of the main developments in the analytic hierarchy process. Expert Syst Appl 38(11):14336–14345
[ISO_27001_2013]_ISO/IEC 27001:2013 – Information technology – Security techniques – Information security management systems – Requirements. http://www.iso.org/iso/home/standards/management-standards/iso27001.htm
Khajouei H, Kazemi M, Moosavirad SH (2017) Ranking information security controls by using fuzzy analytic hierarchy process. Inf Syst e-Bus Manage 15(1):1–19
Le NT, Hoang DB (2017) Capability maturity model and metrics framework for cyber cloud security. Scalable Comput: Pract Exp 18(4):277–290
Mc Lee (2014) Information security risk analysis methods and research trends: AHP and fuzzy comprehensive method. IJCSIT 6(February):29–45
Liu DL, Yang SS (2009) An information system security risk assessment model based on fuzzy analytic hierarchy process. 2009 International Conference on E-Business and Information System Security S 1–4
Majumder M (2015) Impact of urbanization on water shortage in face of climatic aberrations. Springer, Singapore
Millet I (1998) Ethical decision making using the analytic hierarchy process. J Bus Ethics 17(11):1197–1204
Mu E, Pereyra-Rojas M (2017) Practical decision making: an introduction to the Analytic Hierarchy Process (AHP) using super decisions (v2). Springer, Berlin
Nasser AA (2018) Measuring the information security maturity of enterprises under uncertainty using fuzzy AHP. I.J. Inf Technol Comput Sci 4(April):10–25
Peters ML, Zelewski S (2002) Analytical Hierarchy Process (AHP) – dargestellt am Beispiel der Auswahl von Projektmanagement-Software zum Multiprojektmanagement. Institut für Produktion und Industrielles Informationsmanagement, Essen
Rudolph M, Schwarz R (2012) Security indicators – A State of the Art Survey Public Report. FhG IESE VII (043)
Saaty TL, Vargas LG (2006) Decision making with the analytic network process: economic, political, social and technological applications with benefits, opportunities, costs and risks. Springer, Berlin
Saaty TL, Vargas LG (2012) Models, methods, concepts & applications of the analytic hierarchy process, Bd 175. Springer, Berlin
Syamsuddin I, Hwang J (2009) The application of AHP to evaluate information security policy decision making. Int J Simul Syst Sci Technol 10(4):46–50
Vaughn, RB, Henning, R, Siraj, A (2003) Information assurance measures and metrics – State of practice and proposed taxonomy. In: Proceedings of the 36th Annual Hawaii International Conference on System Sciences, HICSS 2003
Watkins L (2015) Cyber maturity as measured by scientific-based risk metrics. J Inf Warf 14.3(November):60–69
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2020 Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature
About this chapter
Cite this chapter
Schmid, M. (2020). Vergleichbare Informationssicherheits-Kennzahlen innerhalb einer Branche. In: Sowa, A. (eds) IT-Prüfung, Datenschutzaudit und Kennzahlen für die Sicherheit. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-30517-8_8
Download citation
DOI: https://doi.org/10.1007/978-3-658-30517-8_8
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-30516-1
Online ISBN: 978-3-658-30517-8
eBook Packages: Computer Science and Engineering (German Language)