Wir leben von Tag zu Tag mehr in einer digitalen Gesellschaft. Die Nutzung von IT Systemen verändert sich. Wir möchten an jedem Ort zu jeder Zeit auf geschäftliche Daten und Informationen zugreifen können, Prozesse und Systeme werden ausgelagert und Smartphones erobern die Unternehmen. Das Thema Informationssicherheit kommt hierbei oft zu kurz, dabei sollte es nicht als lästiges Übel, sondern als Chance für Sie und Ihr Unternehmen betrachtet werden.
Befasst man sich als größeres Unternehmen mit Informationssicherheit, ist die Norm ISO 27001 nicht weit. Diese Norm beinhaltet spezielle Anforderungen an das Unternehmen, die Mitarbeiter, Prozesse und Systeme mit dem Fokus auf Informationssicherheit.
Bei ISO 27001 handelt es sich um einen weltweiten Standard. Dadurch ist diese Norm die erste Wahl als Grundlage für die Etablierung von Informationssicherheit im Unternehmen. Aber man muss sich nicht gleich extern zertifizieren lassen: Alleine, sich mit den Anforderungen der Norm zu befassen, erhöht bei den Beteiligten im Unternehmen die Sensibilität für erkennbare Schwächen. Das ist der erste Schritt, diese Dinge aktiv anzugehen.
Warum ist Informationssicherheit so wichtig für Ihr Unternehmen?
Die Ausrichtung bzw. die Zertifizierung nach ISO 27001 dient zunächst der Absicherung des eigenen Unternehmens. Durch die Erfüllung der definierten Anforderungen der Norm wird sichergestellt, dass das Unternehmen alle Sicherheitsvorkehrungen getroffen hat, diese weiterentwickelt und sich dabei an Kundenvorgaben und gültiges Recht hält. Dies hat den Vorteil, dass das Unternehmen eine definierte Grundlage hat, an dem es sich bei der Implementierung orientieren kann.
Zudem ergibt sich ein klarer Wettbewerbsvorteil gegenüber Konkurrenten, da das Thema Informationssicherheit in die Auswahl eines Anbieters und dessen Integration in die unternehmensübergreifenden Lieferketten mittlerweile eine sehr große Rolle spielt. Somit ermöglicht eine Ausrichtung nach ISO 27001 den Nachweis gegenüber Kunden, Geldgebern und Lieferanten, dass sich das Unternehmen tiefgreifend mit Informationssicherheit befasst und alle relevanten Maßnahmen erfolgreich implementiert hat.
Wie sollten Sie vorgehen?
Für eine erfolgreiche Implementierung von ISO 27001 bedarf es der Aufmerksamkeit und Unterstützung des Top-Managements. Ist diese gegeben, empfiehlt es sich, den Rahmen für die Ausrichtung oder gar Zertifizierung abzustecken. Dabei muss betrachtet werden, ob der Fokus auf das komplette Unternehmen oder nur einzelne (Teil-)Bereiche gerichtet wird. Beide Ansätze haben Vor- und Nachteile. Diese müssen jeweils von Fall zu Fall unterschieden werden.
Ist der Rahmen der Betrachtung abgesteckt, muss entschieden werden, ob nach der Umsetzung der Maßnahmen auch eine externe Zertifizierung durchgeführt werden soll. Diese Entscheidung ist individuell vom Unternehmen abhängig. Wichtige Einflussfaktoren sind hier konkrete Anforderungen der Kunden und gesetzliche Vorgaben.
Im nächsten Schritt sollte eine objektive Bestandsaufnahme der aktuellen Situation vorgenommen werden. Idealerweise wird dies durch einen unabhängigen Dritten durchgeführt. Dieser hat einen anderen Blick auf die Organisation und die Prozesse und kann somit feststellen, wo Schwachstellen und Verbesserungspotenziale liegen, um eine Zertifizierung zu erlangen.
Nach erfolgter Bestandsaufnahme werden die definierten Handlungsfelder und Maßnahmen analog der Norm umgesetzt. Zentrales Thema hierbei ist die Etablierung eines ISMS (Information Security Management System). Darin werden Verfahren und Maßnahmen festgeschrieben, die Informationssicherheit definieren, steuern, kontrollieren und kontinuierlich verbessern (Plan-Do-Check-Act). Zudem hat eine Bewertung aller Risiken inkl. der Abschätzung der möglichen finanziellen Schäden zu erfolgen, die das Unternehmen treffen können.
Die vollständige Umsetzung aller Maßnahmen und die Implementierung des ISMS dauern im Unternehmen erfahrungsgemäß zwischen 12 und 24 Monaten.
Ist die Implementierung abgeschlossen, erfolgt ein internes Audit. Dabei werden alle Punkte der ISO 27001 Norm (133 sog. Controls) auf ihre Umsetzung hin überprüft. Mögliche Abweichungen müssen danach noch vor dem offiziellen Audit korrigiert werden.
Entscheidet sich ein Unternehmen zu einer externen Zertifizierung, erfolgt abschließend noch das externe Zertifizierungsaudit. Dieses wird durch einen zertifizierten Auditor durchgeführt. Wenn dieser keine Abweichungen zur Norm feststellt, wird das entsprechende ISO 27001 Zertifikat ausgestellt. Danach kommt es zu einer jährlichen Überprüfung der Implementierung durch einen externen Auditor. Nach 3 Jahren erfolgt die das nächste vollständige Audit.
Was müssen Sie bei der Implementierung beachten?
1. Einbindung aller Mitarbeiter
Um die Implementierung erfolgreich durchzuführen, ist die Einbindung aller Mitarbeiter unerlässlich. So wird bereits zu einem frühen Zeitpunkt das Sicherheitsbewusstsein im gesamten Unternehmen gestärkt. Damit wird sichergestellt, dass die beschlossenen Maßnahmen auch im täglichen Geschäft akzeptiert, verinnerlicht und umgesetzt werden.
2. Informationssicherheit als etwas Positives betrachten
Die Umsetzung der ISO 27001 Norm erfolgt durch eine ganzheitliche Betrachtung des Unternehmens und all seinen Prozessen, Systemen und Richtlinien. Durch diese Betrachtung wird sichergestellt, dass das Unternehmen mögliche Verbesserungspotenziale nutzt und umsetzt. Somit geht das Unternehmen gestärkt aus der Implementierung hervor.
3.Geduld haben
Implementierungsprojekte scheitern oft daran, dass zu sportliche Ziele gesteckt werden. Um dies zu vermeiden, muss allem Beteiligten klar sein, dass die Implementierung aller Maßnahmen Zeit und Ressourcen kostet. Wer hier einen langen Atem hat, profitiert durch die Ergebnisse der Umsetzung.
Welches Fazit können wir ziehen?
Die Implementierung eines ISMS nach ISO 27001 kostet Zeit und Ressourcen. Für das Unternehmen bringt es jedoch auch wesentliche Vorteile: Die Sicherheitsanforderungen sind nun bekannt. Ein ISMS ist für die Durchführung und Weiterentwicklung eingeführt. Durch die Einführung ist sichergestellt, dass sicherheitsrelevante Themen im Fokus bleiben und alle Maßnahmen und Implementierungen kontinuierlich verbessert werden, um das eigene Unternehmen nachhaltig zu sichern und die Effizienz der IT-Unterstützung zu steigern. Für kleinere, mittelständische Unternehmen gibt es übrigens mit ISIS12 ( siehe ISIS12) eine sinnvolle Alternative.
Schreibe einen Kommentar