Nicht selten besteht die Motivation zur Einführung eines
“Information Security Management System gemäß DIN EN ISO 27001″
darin, dass man es eben machen muss, um z.B. den Wünschen eines Kunden zu entsprechen.
Das erinnert mich ein wenig an meine erste Zertifizierung, damals gemäß der
Qualitätsmanagementnorm DIN EN ISO 9000.
Warum habe ich das für mein Unternehmen umgesetzt? Weil es die Kunden gefordert haben.
Mit der Unterstützung eines befreundeten Auditoren waren die Grundbausteine schnell aufgesetzt und das erste Audit bestanden.
Beim folgenden Überprüfungsaudit allerdings kamen wir ein wenig in Panik.
Wo sollten wir die vielen Besprechungsprotokolle hernehmen, die gefordert waren?
Wir haben eben die Zertifizierung als eine unnötige Last und nicht als eine Chance verstanden.
Wir haben die Norm nicht gelebt. Es gab keine Beprechungsprotokolle.
In den letzten rund 30 Jahren habe ich viele Kunden gesehen, die so ähnlich vorgegangen sind.
Rechtsanwälte konnten sich über einen Verband sehr einfach zertifizieren lassen.
Das “Basishandbuch” wurde gleich mitgeliefert.
Nicht lange nach der bestandenen Erstzertifizierung wurde dann auf eine Verlängerung verzichtet.
Die Unternehmen, die so vorgegangen sind, hatten eine Sache gemeinsam – Qualitätsprobleme.
Heue ist es die ISO 27xxx, die gefordert wird.
Wenn ich so die aktuellen IT-News überfliege, dann scheint es dafür auch dringenden Bedarf zu geben.
Am heutigen Tag finden sich bei heise security (Quelle: heise.de) diese Schlagzeilen:
Dank Ransomware zum nächsten Mark Zuckerberg – Ein Spammer setzt auf unlautere Methoden, um sein Start-up zu finanzieren.
Ransomware-Attacken nehmen dramatisch zu – Mehr Ransomware-Angriffe, höhere Lösegeldforderungen und eine effizientere Verteilung – die Entwicklung der Datenerpressungsbranche ist besorgniserregend.
Cyberkriminelle bieten Daten von 70 Millionen AT&T-Kunden an – Unbekannte haben eine Probe privater Kundendaten von AT&T in einem Hackerforum gepostet, für die ganze Datenbank verlangen sie eine Million US-Dollar.
Angriff auf Kryptowährung – Liquid meldet Diebstahl von 97 Millionen US-Dollar Die japanische Kryptowährungsbörse ist Opfer eines Cyberangriffs geworden. Der Schaden beläuft sich auf circa 73 Millionen Pfund.
Datenleck – T-Mobile US bestätigt 7,8 Millionen gestohlene Kundendaten Das US-Tochterunternehmen der Telekom war erst von 47 Millionen entwendeten Daten ausgegangen. Zahlungsinformationen sind bisher offenbar nicht betroffen.
Aber Hallo – das ist ein Zeitfenster von 24 Stunden!
Lassen Sie mich an dieser Stelle einmal etwas klarstellen:
Die ISO Zertifizierung muss für Sie kein Schreckgespenst sein! Es ist eine Chance!
Warum ist das so? Weil die Norm eigentlich gar nicht so kompliziert ist.
Auf 25 Seiten !!! finden sich die Richtlinien, die für eine erfolgreiche Zertifizierung notwendig sind.
Ich empfehle wirklich jedem Interresierten diese einmal zu lesen.
Da steht z.B. geschrieben:
- Die Organisation muss externe und interne Themen bestimmen, die für ihren Zweck relevant sind und sich auf ihre Fähigkeit auswirken, die beabsichtigten Ergebnisse ihres Informationssicherheitsmanagementsystems zu erreichen.
- Die Organisation muss die Grenzen und die Anwendbarkeit des Informationssicherheitsmanagementsystems bestimmen, um dessen Anwendungsbereich festzulegen.
- Die oberste Leitung muss in Bezug auf das Informationssicherheitsmanagementsystem Führung und Verpflichtung zeigen …
- Die oberste Leitung muss eine Informationssicherheitspolitik festlegen, die …
Da sind doch Themen, über die sich eigentlich jedes Unternehmen einmal Gedanken machen sollte, oder?
Die Norm “formalisiert” das lediglich.
Komplexer werden Themen wie z.B. das Risikomanagement.
Aber auch das ist kein Hexenwerk und sollte eigentlich selbstverständlich sein.
Können Sie mir jetzt sagen, welche zusätzliche Risiken sich durch den Einsatz von Home Office Arbeitplätzen in Ihrem Unternehmen ergeben haben?
Aus meiner Sicht der größte Fehler den man bei der Einführung der Norm machen kann – zu versuchen, alles auf einmal zu dokumentieren oder umzusetzen.
Die Norm beschreibt nicht die Frage, wie die Server im Unternehmen abgesichert sind.
Die Norm ist lediglich der formale Rahmen, das “Management System”, welches Ihnen hilft, das gesetzte Ziel zu erreichen – die Absicherung der Server.
So wird bei dem ersten Audit auch im Wesentlichen nur geprüft, ob Sie das Management System verstanden und gemäß der Norm aufgebaut haben.
Niemand wird erwarten, dass Ihr Unternehmen am Stichtag bereits “perfekt” ist.
Man wird erwarten, dass Sie den PDCA Prozeß implementiert haben und diesen auch leben.
Plan – Do – Check – Act (Quelle: wikipedia)
Genau das ist eigentlich die Herausforderung der Norm.
Man schafft sich selbst einen formalen Rahmen, der selbstverständlich auf das eigene Unternehmen angepasst sein muss und beginnnt dann damit, sich kontinuierlich zu verbessern.
Wenn sie das umsetzen und leben, werden sie schnell erkennen, wie die Norm dabei hilft, das Unternehmen stetig weiter zu bringen.
Fangen sie gerne eher “klein” an und gewöhnen sie sich an das vielleicht neue Vorgehen.
Schaffen sie die notwendigen Prozeße, dokumentieren und werten sie aus.
Lernen sie aus den Ergebnissen und lassen sie das in ihr Management System einfliessen.
Machen sie das, bevor vielleicht an einem der folgenden Tage gerade ihr Unternehmen zu einer Schlagzeile wird.