Nach den Beobachtungen der mikado ag wird in jüngster Zeit verstärkt in den Aufbau von ISO/IEC 27001-konformen Informationssicherheits-Managementsystemen (ISMS) investiert. Da Unternehmen und Behörden bei der Projektierung häufig Neuland betreten, hat der IT-Security-Analyst des Beratungshauses, Robert Hellwig, einige praxisbewährte Empfehlungen zusammengestellt. Sie zielen auch auf eine schlanke Realisierung ab:
1. Fürsprecher in der Chefetage gewinnen:
Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird.
2. Die branchenspezifischen Anforderungen berücksichtigen:
In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch wie etwa im Fall der Energieversorger vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind.
3. Das ISMS leben und nicht nur ein Zertifikat besitzen wollen:
So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden.
4. Mit einer GAP-Analyse beginnen: Auch wenn sie vielfach noch nicht den ISO/IEC 27001-Ansprüchen genügen, bestehen im Regelfall bereits IT-Sicherheitsmaßnahmen. Darauf gilt es soweit wie möglich aufzubauen, um den Implementierungsaufwand für ein ISO-konformes Informationssicherheits-Managementsystem zu begrenzen. Welche bereits etablierten Verfahren sich nutzen lassen, ermittelt die GAP-Analyse.
5. Unrealistische Projektierungszeiten vermeiden:
So selbstverständlich anspruchsvolle Ziele sein sollten, so kontraproduktiv können sie bei einer zu ehrgeizig angelegten Realisierung werden. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb ist in den zeitlichen Planungen ein großes Augenmerk auf die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren zu richten.
6. Schlanke Realisierungsmethoden nutzen:
Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen.
7. Augenmaß bei der Komplexität der Sicherheitsrichtlinie:
Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis hat sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie ist, desto geringer ist die Bereitschaft, sich daran zu orientieren.
8. Keine standardisierte Policy aus anderen Quellen nutzen:
Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht.
9. Ausufernde Dokumentationen vermeiden:
Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip Think big, do small zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen.
10. Für ein breites ISMS-Verständnis sorgen:
Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören.
11. Geschäftsleitung in die Schulungen einbeziehen:
Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen.
12. Frühzeitig für eine KVP-Kultur sorgen:
Zu den Grundgedanken der Norm gehört, dass die Sicherheitsmaßnahmen in Kontinuierlichen Verbesserungsprozessen (KVP) weiterentwickelt werden. Dies verlangt über entsprechende organisatorische Vorgehensweisen hinaus ein Selbstverständnis, das nicht von allein entsteht, sondern über Schulungen entwickelt werden muss.
X