Die Einführung eines Management Systems wie der ISO 27001 ist natürlich schon eine “Aufgabe”.
Kaum ein Unternehmen ist ausreichend ausgerüstet, um das “einfach so” zu schaffen.
Viele Prozesse fehlen und auch die Mitarbeiter haben noch kein richtig gutes Gefühl dafür, was von ihnen erwartet wird.
Es ist so ähnlich wie der Tag, an dem ein Baby das erste Mal aufsteht, um in Zukunft auf zwei Beinen zu laufen.
Danach wackelt man erst einmal unsicher durch die Wohnung, rempelt gegen alle möglichen Einrichtungsgegenstände und die Eltern passen auf, dass es nicht zu sehr weh tut.
Man sammelt eben Erfahrungen.
Die ISO 27001 unterstützt genau so ein Vorgehen und es wird nicht erwartet, dass man von Anfang an super laufen kann.
Man muss nur gut vorbereitet sein.
Leider viel zu oft vergessen die CISO’s und ISO’s aber auch die Geschäftsführung dabei den wichtigsten Aspekt:
KOMMUNIKATION
Besonders die Einführung sollte von ausreichend vielen “Mitarbeiterinformationen” und Aktionen unterstützt werden.
Da gibt es den offiziellen “Startschuß”, wenn die Politik des Unternehmens festgelegt ist.
Diese kann gleich an alle kommuniziert werden. Es ist der rote Faden, der sich durch alle weiteren Aktionen ziehen wird.
Bei dieser Gelegenheit füllt sich der Kommunikationsplan schon mit der ersten Zeile.
Und es wurde schon darüber nachgedacht, ob diese Information nun “public” oder “internal” eingestuft werden muss.
Wissen Sie die Antwort auf die Frage?
Wenn nicht, hilft ein Blick in die Norm:
Die Informationssicherheitspolitik muss:
e) als dokumentierte Information verfügbar sein;
f) innerhalb der Organisation bekanntgemacht werden; und
g) für interessierte Parteien verfügbar sein, soweit angemessen.
Da sich in der Regel auch Kunden für die Informationssicherheit Ihres Unternehmens interresieren, ist “public” die richtige Antwort.
Der Aspekt der Schulung und Awareness bringt weitere Zeilen in den Kommunikationsplan.
Was ich immer wieder erlebe – fängt man an dieser Stelle an, dann rutscht man mehr oder minder sanft in das Thema hinein.
Und wenn man gut genug laufen kann, ist die Zeit auch reif für die Zertifizierung.
Behalten Sie immer die Zielgruppe im Augen um die es primär geht – die Mitarbeiter.
Beziehen Sie diese ein, in das Kommende und etablieren Sie einen Dialog mit den Menschen, die später auch die Richtlinien, Verfahren und Arbeitsanweisungen umsetzen müssen.
Dann werden Sie sehen, dass Informationssicherheit sich organisch mit Ihrem Unternehmen verbindet und nicht als Fremdkörper empfunden wird.
Worte sind der mächtigste Hebel, um die ISO Welt zu bewegen.
“Gebt mir einen Hebel, der lang genug,
und einen Angelpunkt, der stark genug ist,
dann kann ich die Welt mit einer Hand bewegen.“
(Archimedes)