Aktuelle Praxishilfen:

Ganzheitlich digitale Rechnungsprozesse

In der Praxishilfe werden die kritischen Faktoren in der gegenwärtigen Realität

... [mehr]
Fitness-Check der IT-Infrastruktur

Die Praxishilfe untersucht die Leistungsbedingungen anhand von zehn zentralen Me

... [mehr]
Auswahl des IT-Providers nach der Service-Qualität

Anhand der Praxishilfe können die Anwender unter dem Gesichtspunkt der Service-Q

... [mehr]
Analyse der internen IT-Service-Qualität

Im Wettbewerb kommt nicht nur den IT-Technologien, sondern auch der Qualität der

... [mehr]
Anforderungsanalyse ECM

Die Praxishilfe beschäftigt sie sich insbesondere mit den zentralen Nutzenaspekt

... [mehr]
Suchen & Finden  
erweiterte Suche  

12 Tipps für eine schlanke ISO 27001-Einführung

06.05.14

Nach den Beobachtungen der mikado ag wird in jüngster Zeit verstärkt in den Aufbau von ISO/IEC 27001-konformen Informationssicherheits-Managementsystemen (ISMS) investiert. Da Unternehmen und Behörden bei der Projektierung häufig Neuland betreten, hat der IT-Security-Analyst des Beratungshauses, Robert Hellwig, einige praxisbewährte Empfehlungen zusammengestellt. Sie zielen auch auf eine schlanke Realisierung ab:

 

1. Fürsprecher in der Chefetage gewinnen:

Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird.

 

2. Die branchenspezifischen Anforderungen berücksichtigen:

In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch – wie etwa im Fall der Energieversorger – vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind.

 

3. Das ISMS leben und nicht nur ein Zertifikat besitzen wollen:

So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden.

 

4. Mit einer GAP-Analyse beginnen: Auch wenn sie vielfach noch nicht den ISO/IEC 27001-Ansprüchen genügen, bestehen im Regelfall bereits IT-Sicherheitsmaßnahmen. Darauf gilt es soweit wie möglich aufzubauen, um den Implementierungsaufwand für ein ISO-konformes Informationssicherheits-Managementsystem zu begrenzen. Welche bereits etablierten Verfahren sich nutzen lassen, ermittelt die GAP-Analyse.

 

5. Unrealistische Projektierungszeiten vermeiden:

So selbstverständlich anspruchsvolle Ziele sein sollten, so kontraproduktiv können sie bei einer zu ehrgeizig angelegten Realisierung werden. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb ist in den zeitlichen Planungen ein großes Augenmerk auf die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren zu richten.

 

6. Schlanke Realisierungsmethoden nutzen:

Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen.

 

7. Augenmaß bei der Komplexität der Sicherheitsrichtlinie:

Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis hat sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie ist, desto geringer ist die Bereitschaft, sich daran zu orientieren.

 

8. Keine standardisierte Policy aus anderen Quellen nutzen:

Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht.

 

9. Ausufernde Dokumentationen vermeiden:

Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen.

 

10. Für ein breites ISMS-Verständnis sorgen:

Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören.

 

11. Geschäftsleitung in die Schulungen einbeziehen:

Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen.

 

12. Frühzeitig für eine KVP-Kultur sorgen:

Zu den Grundgedanken der Norm gehört, dass die Sicherheitsmaßnahmen in Kontinuierlichen Verbesserungsprozessen (KVP) weiterentwickelt werden. Dies verlangt über entsprechende organisatorische Vorgehensweisen hinaus ein Selbstverständnis, das nicht von allein entsteht, sondern über Schulungen entwickelt werden muss.

 

Weitere Meldungen

Soziale Netzwerke – wer ist der Platzhirsch

Soziale Netzwerke stehen hoch im Kurs. Nicht nur im Business Bereich sondern vor allem im

...
Unternehmensweit gültige Process Governance vereinfacht die IT-Service-Erbringung

An den Schnittstellen der Prozesse entstehen ohne klare Regelungen besonders große Schwier

...
Unternehmen geben Gas bei digitalen Rechnungsprozessen

Die Unternehmen geben zunehmend Gas, wenn es um die Digitalisierung ihrer Rechnungsprozess

...
Web-basierte IT-Sicherheitsattacken auf Rekordnivau

Die Anzahl webbasierter Cyberattacken stieg im April auf rekordverdächtige Höhe: Die Sopho

...
Acopia geht an F5 Networks

Für 210 Millionen Dollar übernahm F5 Networks den File-Virtualisierungssoftware Entwickler

...
Online den User Management Index testen

Ein Online-Tool der Ogitix AG misst den Effizienzgrad im Benutzermanagement und ermittelt

...
Hilti produziert mit Red Hat Enterprise Linux und SAP

Hilti AG, weltweit bekannter Hersteller von Werkzeugen mit Sitz in Lichtenstein, hat sämtl

...
Chair Desktop-Interface Ursache Nummer eins beim Datenverlust

Laut einer aktuellen Umfrage von Kroll-Ontrack halten auch Anwender den Faktor Mensch für

...
Norten 360 2.0 von Symantec verfügbar

Der Security-Spezialist Symantec bringt die neue Version 2.0 der Antiviren-Lösungen Norten

...
Nordrhein-Westfalen überweist per SAP

Das Landesamt für Besoldung und Versorgung (LBV) wird zukünftig für die Bezügeabrechnungen

...