Aktuelle Praxishilfen:

Ganzheitlich digitale Rechnungsprozesse

In der Praxishilfe werden die kritischen Faktoren in der gegenwärtigen Realität

... [mehr]
Fitness-Check der IT-Infrastruktur

Die Praxishilfe untersucht die Leistungsbedingungen anhand von zehn zentralen Me

... [mehr]
Auswahl des IT-Providers nach der Service-Qualität

Anhand der Praxishilfe können die Anwender unter dem Gesichtspunkt der Service-Q

... [mehr]
Analyse der internen IT-Service-Qualität

Im Wettbewerb kommt nicht nur den IT-Technologien, sondern auch der Qualität der

... [mehr]
Anforderungsanalyse ECM

Die Praxishilfe beschäftigt sie sich insbesondere mit den zentralen Nutzenaspekt

... [mehr]
Suchen & Finden  
erweiterte Suche  

12 Tipps für eine schlanke ISO 27001-Einführung

06.05.14

Nach den Beobachtungen der mikado ag wird in jüngster Zeit verstärkt in den Aufbau von ISO/IEC 27001-konformen Informationssicherheits-Managementsystemen (ISMS) investiert. Da Unternehmen und Behörden bei der Projektierung häufig Neuland betreten, hat der IT-Security-Analyst des Beratungshauses, Robert Hellwig, einige praxisbewährte Empfehlungen zusammengestellt. Sie zielen auch auf eine schlanke Realisierung ab:

 

1. Fürsprecher in der Chefetage gewinnen:

Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird.

 

2. Die branchenspezifischen Anforderungen berücksichtigen:

In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch – wie etwa im Fall der Energieversorger – vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind.

 

3. Das ISMS leben und nicht nur ein Zertifikat besitzen wollen:

So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden.

 

4. Mit einer GAP-Analyse beginnen: Auch wenn sie vielfach noch nicht den ISO/IEC 27001-Ansprüchen genügen, bestehen im Regelfall bereits IT-Sicherheitsmaßnahmen. Darauf gilt es soweit wie möglich aufzubauen, um den Implementierungsaufwand für ein ISO-konformes Informationssicherheits-Managementsystem zu begrenzen. Welche bereits etablierten Verfahren sich nutzen lassen, ermittelt die GAP-Analyse.

 

5. Unrealistische Projektierungszeiten vermeiden:

So selbstverständlich anspruchsvolle Ziele sein sollten, so kontraproduktiv können sie bei einer zu ehrgeizig angelegten Realisierung werden. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb ist in den zeitlichen Planungen ein großes Augenmerk auf die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren zu richten.

 

6. Schlanke Realisierungsmethoden nutzen:

Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen.

 

7. Augenmaß bei der Komplexität der Sicherheitsrichtlinie:

Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis hat sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie ist, desto geringer ist die Bereitschaft, sich daran zu orientieren.

 

8. Keine standardisierte Policy aus anderen Quellen nutzen:

Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht.

 

9. Ausufernde Dokumentationen vermeiden:

Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen.

 

10. Für ein breites ISMS-Verständnis sorgen:

Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören.

 

11. Geschäftsleitung in die Schulungen einbeziehen:

Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen.

 

12. Frühzeitig für eine KVP-Kultur sorgen:

Zu den Grundgedanken der Norm gehört, dass die Sicherheitsmaßnahmen in Kontinuierlichen Verbesserungsprozessen (KVP) weiterentwickelt werden. Dies verlangt über entsprechende organisatorische Vorgehensweisen hinaus ein Selbstverständnis, das nicht von allein entsteht, sondern über Schulungen entwickelt werden muss.

 

Weitere Meldungen

DIA mit Qualifizierungsseminaren zum Thema Cloud Computing

Die Deutsche Informatik Akademie bietet im ersten Quartal 2011 zwei Qualifizierungsseminar

...
Actinium Consulting-Studie: Mitarbeiter werden nur mäßig auf ihre internationalen Einsätze vorbereitet

Obwohl die Unternehmen ihr Business seit geraumer Zeit verstärkt internationalisieren, geh

...
Deutsche Unternehmen lassen IT verstärkt durch Externe testen

83 Prozent der Unternehmen hierzulande halten zur Entwicklung der eigenen IT ein Outsourci

...
IT-Intelligenztest nun auch international einsetzbar

Das IQ Professionals Institute hat seinen IT-fachlichen Intelligenztest „IT IQ“ durch eine

...
Neue Firefox-Version mit Sicherheitskorrektur für URI-Lücke

Die neue Version des Web-Browsers korrigiert das Problem, das bei der Behandlung spezielle

...
BITKOM gründet Strategiekreis Informationsgesellschaft

Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) hat d

...
Planungsfehler durch automatisierte Prozesse reduzieren

Aufgrund der immer komplexeren Organisations- oder Unternehmensstrukturen werden die Planu

...
Neue Duden-Software hilft der Orthographie nachträglich auf die Sprünge

Mit der neuen Duden-on-Demand-Lösung können die Unternehmen bereits veröffentlichte Intern

...
SAP-Kunden in Europa setzen auf Flexibilität

Auf der Technologieplattform SAP NetWeaver und der SAP Business Suite schaffen Unternehmen

...
Systematische Reifegradanalyse bringt Licht in die IT-Prozesse

Das IT Service Management konzentriert sich seit Jahren auf die Optimierung der Ablauforga

...