12 Tipps für eine schlanke ISO 27001-Einführung
(IINews) - Nach den Beobachtungen der mikado ag wird in jüngster Zeit
verstärkt in den Aufbau von ISO/IEC 27001-konformen
Informationssicherheits-Managementsystemen (ISMS)
investiert. Da Unternehmen und Behörden bei der
Projektierung häufig Neuland betreten, hat der IT-Security-
Analyst des Beratungshauses, Robert Hellwig, einige
praxisbewährte Empfehlungen zusammengestellt. Sie zielen
auch auf eine schlanke Realisierung ab:
1. Fürsprecher in der Chefetage gewinnen:
Ein Managementsystem für die Informationssicherheit kann
nur fruchten, wenn es auf allen Ebenen des Unternehmens
eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig
ein Schulterschluss mit der Geschäftsleitung herbeigeführt
werden, indem sie aktiv in die Planungen zu ISO/IEC 27001
einbezogen wird.
2. Die branchenspezifischen Anforderungen berücksichtigen:
In zunehmendem Maß entwickeln Branchenverbände
Vorschriften für die Informationssicherheit, teilweise werden
sie auch – wie etwa im Fall der Energieversorger – vom
Gesetzgeber vorgegeben. Sie müssen zwingend in die
Ausrichtung des ISMS einbezogen werden, sofern sie nicht
sowieso bereits Bestandteil der eigenen Compliance sind.
3. Das ISMS leben und nicht nur ein Zertifikat besitzen wollen:
So wichtig gegenüber Kunden und Geschäftspartnern eine
Zertifizierung als Ausweis der Informationssicherheit sein
kann, so wenig liegt der eigentliche Wert in einer solchen
Etikettierung. Vielmehr muss das ISMS zu einem integralen
Element der Unternehmensorganisation werden.
4. Mit einer GAP-Analyse beginnen: Auch wenn sie vielfach
noch nicht den ISO/IEC 27001-Ansprüchen genügen,
bestehen im Regelfall bereits IT-Sicherheitsmaßnahmen.
Darauf gilt es soweit wie möglich aufzubauen, um den
Implementierungsaufwand für ein ISO-konformes
Informationssicherheits-Managementsystem zu begrenzen.
Welche bereits etablierten Verfahren sich nutzen lassen,
ermittelt die GAP-Analyse.
5. Unrealistische Projektierungszeiten vermeiden:
So selbstverständlich anspruchsvolle Ziele sein sollten, so
kontraproduktiv können sie bei einer zu ehrgeizig angelegten
Realisierung werden. Umgekehrt wiederum kann sich bei
einem zu langsamen Projektablauf das Engagement verlieren.
Deshalb ist in den zeitlichen Planungen ein großes Augenmerk
auf die Balance zwischen der ambitionierten Ausrichtung und
dem Machbaren zu richten.
6. Schlanke Realisierungsmethoden nutzen:
Die Höhe des Einführungs- und Administrationsaufwands trägt
wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS
auf den Managementebenen bei. Allein aus diesem Grund
sollten ressourcen- und kostenschonende Lean-Methoden
eingesetzt werden, ohne dass sie jedoch zu Kompromissen
bei den Qualitätszielen zwingen.
7. Augenmaß bei der Komplexität der Sicherheitsrichtlinie:
Zwar muss den von der ISO-Norm geforderten Elementen
einer Sicherheitsrichtlinie für das ISMS entsprochen werden.
Aber in der Praxis hat sie mitunter einen Umfang von vielen
Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer
sie ist, desto geringer ist die Bereitschaft, sich daran zu
orientieren.
8. Keine standardisierte Policy aus anderen Quellen nutzen:
Jedes Unternehmen hat ein spezielles organisatorisches Profil
und individuelle Sicherheitsbedingungen. Dementsprechend
lässt sich eine Security-Richtlinie auch nicht aus einem nach
unklaren Kriterien entwickelten Standard ableiten, auch wenn
dies auf den ersten Blick eine erhebliche Aufwandsersparnis
verspricht.
9. Ausufernde Dokumentationen vermeiden:
Ebenso ist es bei den ISO/IEC 27001-Dokumentationen
hilfreich, sich an dem Prinzip „Think big, do small“ zu
orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft
erlangen, sich dabei aber nicht in einer unnötigen Tiefe
verlaufen.
10. Für ein breites ISMS-Verständnis sorgen:
Das Informationssicherheits-Managementsystem funktioniert
letztlich nur so gut, wie es von allen Prozessbeteiligten
akzeptiert wird. Deshalb sind Awareness-Maßnahmen
notwendig, die der aktiven Mitwirkung dienen. Wikis und
andere Aktivitäten können zum internen ISMS-Marketing
gehören.
11. Geschäftsleitung in die Schulungen einbeziehen:
Erst wenn sich das Top-Management auch auf einer konkreten
statt nur auf der abstrakten Ebene in dem Thema einfindet,
wird es ein nachhaltiges Verhältnis für die Bedeutung eines
ISMS entwickeln. Aus diesem Grund sollte es motiviert werden,
zumindest partiell an den betreffenden ISO-Schulungen
teilzunehmen.
12. Frühzeitig für eine KVP-Kultur sorgen:
Zu den Grundgedanken der Norm gehört, dass die
Sicherheitsmaßnahmen in Kontinuierlichen
Verbesserungsprozessen (KVP) weiterentwickelt werden. Dies
verlangt über entsprechende organisatorische
Vorgehensweisen hinaus ein Selbstverständnis, das nicht von
allein entsteht, sondern über Schulungen entwickelt werden
muss.
Mehr über mikado ag
Seit mehr als drei Jahrzehnten beschäftigt sich die mikado mit
dem effizienten Management und der kompromisslosen
Sicherheit von IT-Strukturen. In dieser Zeit wurden über 2.800
Projekte zur Informationssicherheit realisiert. Möglich wurde
dieser jahrzehntelange Markterfolg von mikado durch eine
kontinuierlich gelebte Strategie, auf fachlichen Vorsprung zu
setzen und sich dabei immer Informationssicherheit aus der
Blickrichtung der Kunden zu denken. Eine weitere Besonderheit
stellt die Ausrichtung dar, durch Nutzung des eigenen
Frameworks miLEAN die Projekte schlanker als üblich zu
realiseren. Zum Kundenstamm gehören u. a. Bundesministerien,
Volkswagen, Investitionsbank Berlin, Total, KfW Kreditanstalt für
Wiederaufbau, Sparkassen und Volksbanken. Firmensitz der
mikado ag ist Berlin. mikado ist Mitglied bei BITKOM und dem
SIBB.
Datum: 06.05.2014 - 14:34 Uhr
Sprache: Deutsch
News-ID 1055162
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Robin Heinrich
Stadt:
50354 Hürth
Telefon: 02233 6117-75
Kategorie:
Internet
Meldungsart: bitte
Versandart: Veröffentlichung
Freigabedatum: 06.05.2014
Dieser Fachartikel wurde bisher 353 mal aufgerufen.
Der Fachartikel mit dem Titel:
"12 Tipps für eine schlanke ISO 27001-Einführung"
steht unter der journalistisch-redaktionellen Verantwortung von
Robin Heinrich (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).