Zur Erfüllung der Anforderungen benötigt ein CISO (Chief Information Security Officer) ein Instrumentarium, um für das ISMS (Information Security Management System) von den Geschäftszielen ableitbare Ziele und Kennzahlen definieren und das ISMS steuern und kontrollieren zu können. Überdies muss dargestellt werden, ob Compliance Anforderungen erfüllt werden. Dabei muss der CISO alle Interessengruppen wie Kunden, Mitarbeiter und Lieferanten etc. berücksichtigen.
Ein solches Instrumentarium stellt ein Kennzahlensystem auf der Ebene des CISO dar. Der Vortrag schlägt ein Verfahren vor, mit dem ein Kennzahlensystem aus dem COBIT Standard nach Geschäftszielen abgeleitet und gemäß einer Balanced Scorecard geordnet werden kann.
