A'PARI Consulting GmbH - Unternehmensblog

Ein Blog rund um Logistik und IT

  • Startseite
  • Logistik
  • IT
  • Über uns
  • Kontakt
  • Impressum

Warum sind ISO27001 Audits denn nur so komplex?

3. Juni 2014 von Alexander Hoppe Kommentar verfassen

„Audits brauchen viel Zeit, fressen Ressourcen und kosten viel Geld“  Solche Aussagen begegnen mir immer wieder. Doch trägt wirklich der Standard allein die Schuld daran, oder sind es vielleicht andere Gründe, die eine Zertifizierung nach ISO27001 so „aufblähen“?

Zugegeben, eine Zertifizierung nach ISO27001 bringt einen gewissen Aufwand mit sich. Es gilt, den Standard zu lesen, zu verstehen und angemessen umzusetzen. Dabei sind verschiedene Dokumente zu erstellen. Prozesse müssen etabliert und eine Organisation für IT-Sicherheit aufgebaut werden. Und der wichtigste Punkt: Die Mitarbeiter müssen alle mitziehen.

Wenn man tatsächlich bei „Null“ anfängt, also noch keine IT Prozesse und Strukturen im Unternehmen existieren, ist dies im Rahmen der Zertifizierung nachzuholen. Diese Aufwände  würden aber auch ohne Zertifizierung anfallen.

An vielen Stellen lässt ISO27001 zudem die Möglichkeiten offen, wie Prozesse und Regeln umgesetzt werden können. Wenn sich dieses interne Regelwerk auf ein nötiges Minimum konzentriert, geht dies in der Regel auch recht schnell. Eine Zertifizierung ist dann durchaus in 12-24 Monaten von A (Anforderungen) bis Z (Zertifizierung) möglich.

Nun gibt es Branchen, wie z.B. das Gesundheitswesen oder Banken, die besonders vielen Regularien unterliegen, die auch bei einer Zertifizierung betrachtet werden müssen, da sie direkten oder indirekten Einfluss auf die IT-Sicherheit haben. Dadurch kann sich der Aufwand für eine Einführung deutlich erhöhen. Der sonst überschaubare Zeitraum, für die Implementierung von ISO27001 verdoppelt sich schnell,  und auch die Auditoren sind für die Abnahme deutlich länger im Haus, da alle vorhandenen Prozesse, Vorgaben und Richtlinien betrachtet werden müssen. Dies „frisst“ tatsächlich mehr Ressourcen und kostet vor allem auch Geld.

Oft sind es jedoch Unternehmen aus Branchen, die eben diesen Regularien nicht unterliegen und der Aufwand für die ISO27001 Einführung trotzdem riesig ist. Bei diesen Unternehmen gibt es für fast alle Eventualitäten eine Richtlinie. Das mag erst einmal positiv erscheinen, erhöht aber unnötig die Komplexität: Kennen die Mitarbeiter alle Richtlinien? Haben sie diese wirklich gelesen und verinnerlicht? Wissen sie, wann welche Richtlinie greift? Wie stellt ein Unternehmen dies sicher?

Ich erlebe es immer wieder, dass sich diese selbst erstellten Richtlinien überlagern, da sie von unterschiedlichen Stellen innerhalb des Unternehmens stammen. Dies macht die Arbeit im Unternehmen nicht leichter. Mitarbeiter fühlen sich von so einer „Überregulierung“ schnell bevormundet. Ohne ein gewisses Vertrauen in die Mitarbeiter kann keine IT-Sicherheit implementiert werden.

Mein Tipp lautet: Wenn Sie eine Zertifizierung nach ISO27001 planen, schauen Sie sich vorher kritisch alle selbst auferlegten Richtlinien in ihrem Unternehmen an. Was wird davon wirklich benötigt? Alle anderen Richtlinien können getrost im Vorfeld der eigentlichen Zertifizierung beseitigt werden. Konzentrieren Sie sich auf das unbedingt Sinnvolle und Nötige.

Das hilft Ihnen, ihren Mitarbeitern und der bevorstehenden Auditierung…

Kategorie: IT Stichworte: Informationssicherheit, ISO27001, Sicherheitsmanagement, Veränderung

Empfohlene Beiträge

Projektrisiken bei der Einführung von Standardsoftware erfolgreich managen

Wir erhalten des Öfteren Unterstützungsanfragen von Kunden, deren Einführungsprojekte von Standardsoftware in „Schieflage“ geraten sind. Was sind die häufigsten Gründe für die Schieflage von diesen Projekten und wie kann man gegensteuern bzw. es gar nicht erst soweit kommen lassen?

Wie IT Kennzahlen Projekte sicher scheitern – 9 Dinge, auf die man besser achten sollte

Die Einführung von IT Kennzahlen ist nicht so trivial, wie sie oft scheinen mag. Hierbei geht es nicht darum, das schönste Tool auszuwählen, das den größten Funktionsumfang und die meisten Reports ermöglicht (obwohl viele dies denken). Es geht darum, das für das Unternehmen passende Vorgehen zu entwickeln mit dem die relevanten Kennzahlen definiert und gemessen […]

Die Startup – Szene in der Logistik

Auf der diesjährigen transport logistics in München waren einige Startup – Unternehmen vertreten, deren Gründungsidee und Unternehmensziele ohne die heute möglichen globalen IT-Infrastrukturen und Datentransparenz bis hin zum Internet der Dinge (IoT) so nicht möglich gewesen wären. Zum Teil echt beeindruckend!

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.

Social Media

Xing Google+ Button RSS Website

Letzte Artikel

  • Nachlese zur 2. DVZ Konferenz zum Thema TMS
  • Speditions-Monitor Prozesse/IT – Wissen, was läuft
  • Testen – Lieber spät und kurz als gar nicht?
  • Speditions-Monitor Prozesse/IT – Umschlaglager
  • Agile Führung – Tipps für die Umsetzung

Stichworte

agiles Projektmanagement Change Management Cloud Cloud Computing CRM Datenqualität Digitale Transformation Digitalisierung Gesamtprozessdenken Industrie 4.0 Informationssicherheit Innovation ISO27001 IT-Infrastruktur IT-Systeme IT Sicherheit KPI Notfallmanagement Potenzialanalyse Projektmanagement Prozesse Prozesseffizienz Prozesskosten Prozessmanagement Prozessoptimierung Prozessreifegrad Risikomanagement Software-Einführung Softwareanbieter Softwareanforderungen Softwareauswahl Softwareeinführung Speditions-Monitor Speditionssoftware Standardprozesse TMS TMS Auswahl Transport Management System Umsetzung Vertrieb Veränderung Veränderungen Veränderungsmanagement Vorstellung Ziele

Letzte Kommentare

  • Andreas Zibert bei Projektportfoliomanagement – Mitten aus dem Leben…
  • Adam Golightly bei Avisierung von Stückgut-Sendungen – (noch) eine Herausforderung für alle Beteiligten
  • Nils Tißen bei Auch agil braucht Führung
  • Tobias Müller bei Projektmanagement klassisch oder agil? – Das Beste aus beiden Welten!
  • Anna Moosfeld bei Wie Softwareentwicklung in Indien funktionieren kann – Tipps aus der Outsourcing Praxis

Archiv

© Copyright 2017 A'PARI Consulting GmbH · Datenschutzerklärung