“Audits brauchen viel Zeit, fressen Ressourcen und kosten viel Geld“ Solche Aussagen begegnen mir immer wieder. Doch trägt wirklich der Standard allein die Schuld daran, oder sind es vielleicht andere Gründe, die eine Zertifizierung nach ISO27001 so “aufblähen”?
Zugegeben, eine Zertifizierung nach ISO27001 bringt einen gewissen Aufwand mit sich. Es gilt, den Standard zu lesen, zu verstehen und angemessen umzusetzen. Dabei sind verschiedene Dokumente zu erstellen. Prozesse müssen etabliert und eine Organisation für IT-Sicherheit aufgebaut werden. Und der wichtigste Punkt: Die Mitarbeiter müssen alle mitziehen.
Wenn man tatsächlich bei „Null“ anfängt, also noch keine IT Prozesse und Strukturen im Unternehmen existieren, ist dies im Rahmen der Zertifizierung nachzuholen. Diese Aufwände würden aber auch ohne Zertifizierung anfallen.
An vielen Stellen lässt ISO27001 zudem die Möglichkeiten offen, wie Prozesse und Regeln umgesetzt werden können. Wenn sich dieses interne Regelwerk auf ein nötiges Minimum konzentriert, geht dies in der Regel auch recht schnell. Eine Zertifizierung ist dann durchaus in 12-24 Monaten von A (Anforderungen) bis Z (Zertifizierung) möglich.
Nun gibt es Branchen, wie z.B. das Gesundheitswesen oder Banken, die besonders vielen Regularien unterliegen, die auch bei einer Zertifizierung betrachtet werden müssen, da sie direkten oder indirekten Einfluss auf die IT-Sicherheit haben. Dadurch kann sich der Aufwand für eine Einführung deutlich erhöhen. Der sonst überschaubare Zeitraum, für die Implementierung von ISO27001 verdoppelt sich schnell, und auch die Auditoren sind für die Abnahme deutlich länger im Haus, da alle vorhandenen Prozesse, Vorgaben und Richtlinien betrachtet werden müssen. Dies „frisst“ tatsächlich mehr Ressourcen und kostet vor allem auch Geld.
Oft sind es jedoch Unternehmen aus Branchen, die eben diesen Regularien nicht unterliegen und der Aufwand für die ISO27001 Einführung trotzdem riesig ist. Bei diesen Unternehmen gibt es für fast alle Eventualitäten eine Richtlinie. Das mag erst einmal positiv erscheinen, erhöht aber unnötig die Komplexität: Kennen die Mitarbeiter alle Richtlinien? Haben sie diese wirklich gelesen und verinnerlicht? Wissen sie, wann welche Richtlinie greift? Wie stellt ein Unternehmen dies sicher?
Ich erlebe es immer wieder, dass sich diese selbst erstellten Richtlinien überlagern, da sie von unterschiedlichen Stellen innerhalb des Unternehmens stammen. Dies macht die Arbeit im Unternehmen nicht leichter. Mitarbeiter fühlen sich von so einer “Überregulierung” schnell bevormundet. Ohne ein gewisses Vertrauen in die Mitarbeiter kann keine IT-Sicherheit implementiert werden.
Mein Tipp lautet: Wenn Sie eine Zertifizierung nach ISO27001 planen, schauen Sie sich vorher kritisch alle selbst auferlegten Richtlinien in ihrem Unternehmen an. Was wird davon wirklich benötigt? Alle anderen Richtlinien können getrost im Vorfeld der eigentlichen Zertifizierung beseitigt werden. Konzentrieren Sie sich auf das unbedingt Sinnvolle und Nötige.
Das hilft Ihnen, ihren Mitarbeitern und der bevorstehenden Auditierung…
Hinterlassen Sie eine Antwort