08. Aug 2022

Erfolg und Misserfolg

6 kritische Faktoren der ISMS Umsetzung

Der CIS-Experte Michael Krausz hat sechs wesentliche Tipps für Sie zusammengefasst, wie die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gelingt.

Es gibt viele Gründe, die für eine Zertifizierung nach dem internationalen Standard für Informationssicherheit ISO 27001 sprechen. Drei der wesentlichen Gründe: Man will, man soll oder man muss. Letzteres ist nach Erfahrung des Autors der häufigste Fall in der Praxis, sorgt aber gleichzeitig  auch dafür, dass das „Projekt ISMS“ oft zunächst in einem Umfeld implementiert wird, welches den Einsatz des Managementsystems anfänglich als „lästig“ empfindet.

Wo sollen Unternehmen anfangen? Was benötigt es für einen gelungenen Start? Welche Faktoren sorgen für Erfolg oder im „Worst Case“ Misserfolg bei der Umsetzung? Wir haben sechs Erfolgsfaktoren für Sie zusammengefasst:

1.) Unterstützung des Managements

ISMS-Projekte sind Querschnittsprojekte – sie betreffen fast alle Abteilungen in einem Unternehmen. Im Minimum sind davon HR, Facility Management, Software Development sowie die operative und strategische IT betroffen. Ebenso ist das Thema „Datenschutz“ stets Teil eines ISMS. Damit alle Betroffenen „an Bord“ geholt werden können, ist es wichtig auch entsprechende Unterstützung seitens der Geschäftsführung zu bekommen. Ein ISMS muss von Beginn an so geschneidert werden, dass – vom Vorstand über Teamleiter bis zu Mitarbeitenden – alle den Nutzen nachvollziehen können.

 

2.) Ausreichende Planung

Informationssicherheitsmanagementsysteme sind Großprojekte – selbst in kleinen Unternehmen – da sie viele wesentlichen Kernfunktionen umfassen. Proaktiv sollten somit der externe und interne Aufwand, Milestones wie Gap-Analyse, Risk Treatment Plan und Interne Audits geplant werden aber auch der interne IT-Aufwand oder eventuell vorab anstehende Aufgaben, wie Asset oder Patch Management, müssen berücksichtigt werden. Grob gesagt sind für ein ISMS in einem KMU zwischen 50 und 100 Projekttage (eventuell auch inkl. externer Beratung) und sechs bis neun Monate Durchlaufzeit erforderlich. Der interne Aufwand in der IT variiert sehr stark, weil dieser von ausstehenden To Dos abhängt, welche wiederum erst in der Gap-Analyse festgestellt werden können.

 

3.) Ausreichende Ressourcen

Ist die Planungsphase abgeschlossen, ist es Aufgabe der Geschäftsführung für eine entsprechende Bereitstellung der Ressourcen zu sorgen. Dazu gehört eventuell auch eine Bereitstellung von zusätzlichem Personal für die eigene IT.

 

4.) Externe Unterstützung

Der Autor hat festgestellt, dass es besonders in Österreich oft eine gewisse Scheu gibt, sich extern beraten zu lassen, typischerweise aus völlig irrationalen Motiven. Es sollte jedenfalls vermieden werden, dass ein ISMS-Projekt einschläft, nur weil die Scheu, sich beraten zu lassen, zu groß ist. Externe Unterstützung durch langjährige ISMS-Experten kann eine deutliche Effizienzsteigerung bedeuten, die das interne Team bei seiner ersten ISMS-Implementierung womöglich gar nicht im gleichen Ausmaß schaffen kann.

 

5.) Awareness-Kampagnen

Gerade die seit Sommer 2021 grassierende Welle an Ransomware-Attacken, die in Österreich und auch international sowohl kleine als auch große Unternehmen getroffen hat, macht deutlich wie wichtig Awareness sowie entsprechendes Bewusstsein für Informationssicherheit und Datenschutz sind. Über 90% aller Ransomware Attacken gehen darauf zurück, dass Links in Spam-Mails geklickt wurden. Dies lässt sich mit entsprechendem Know-how leicht verhindern und hat dazu geführt, dass eine gut geplante und implementierte Awareness-Kampagne bereits weit mehr als die halbe Miete ist.

 

6.) Kernprozesse und Abläufe erledigen

Zu den Kernprozessen jedes ISMS zählen:

  • Risikomanagement
  • Awareness
  • Asset Management
  • Patch und Update Management
  • Vulnerability Management
  • Backup/Restore/Business Continuity
  • Kontinuierliche Verbesserung

Hat man diese Prozesse im Griff, dann hat man bereits die Kernelemente eines ISMS verstanden bzw. erfolgreich umgesetzt. Wichtig ist dabei, „den Elefanten des ISMS in ausreichend kleine Teile zu schneiden“, sodass man das Projekt von einem kleinen Erfolg kontinuierlich zum nächsten führen kann und damit eine positive Grundhaltung im Team aufrechterhalten kann.

Oft fordern die Kunden von Betrieben selbst eine entsprechende, zertifizierte Berücksichtigung von Informationssicherheit unter ihren Stakeholdern und Lieferanten oder setzen dies im Zuge von Ausschreibungen voraus. Eine Auseinandersetzung mit der ISO/IEC 27001 für Informationssicherheit macht aber nicht nur dann Sinn, wenn Kundenbedürfnisse gestillt werden sollen. Betriebe profitieren von einem Höchstmaß an Schutz von Daten und Informationen sowie einem geeigneten, zertifizierten Framework mit Wirksamkeitskontrolle und kontinuierlichen Optimierungsschleifen. Ein ISMS kann dabei – je nach Bedürfnissen und Rahmenbedingungen – so individuell gestaltet werden wie die Betriebe selbst.

Sie möchten mehr erfahren? Kontaktieren Sie uns, wir freuen uns auf Sie!

Unser Informationssicherheitsangebot im Überblick

CIS Lehrgangsreihe Information Security Manager nach ISO 27001 Details & Termine
CIS Lehrgangsreihe Information Security Auditor nach ISO 27001 Details & Termine
CIS Seminar ISO/IEC 27701 das Informationssicherheits- und
Datenschutzmanagementsystem
Details & Termine
CIS Seminar Update-Training ISO 27001 / ISO 27002
Details & Termine
CIS Seminar Datenschutz nach ISO/IEC 27701 für
Informationssicherheitsmanager
Details & Termine
auf Anfrage
CIS Spezialtraining ISO 27001 und Cyber Security für Softwareentwickler Details & Termine
auf Anfrage
Webinar Erfolgsfaktor Informationssicherheit und Datenschutz Details & Termine
auf Anfrage

 

Autor

Michael Krausz

CIS Produktexperte

Email

Weitere News & Events

Immer topaktuell informiert

18. Sep 2024

Event: CIS Compliance Summit 2024

Security | Privacy | Continuity

Mehr erfahren
25. Sep 2023

Auszeichnung „CISO of the Year“ zum zweiten Mal verliehen

Die besten Chief Information Security Officer des Landes sind gekürt:

Mehr erfahren
22. Sep 2023

Neuer Trainingsfolder der CIS veröffentlicht

Zahlreiche Neuerungen am Puls der Zeit

Mehr erfahren
20. Sep 2023

New Work: Durch neue Arbeitsweisen und Technologien bleibt der Mensch Risikofaktor Nummer 1

Das war der CIS Compliance Summit 2023

Mehr erfahren
12. Sep 2023

Business Continuity rückt in den Fokus

Ein Schnittstellenthema mit Boost durch NIS und DORA

Mehr erfahren
01. Sep 2023

NIS 2: Was muss Ihr Unternehmen wann umsetzen?

07. Aug 2023

Im Gespräch mit Harald Erkinger und Christoph Mondl über New Work, Chancen und Risiken

Die aktuellen Themen der Cyber Security

Mehr erfahren
03. Aug 2023

Auf welches Know-how wir uns beim CIS Compliance Summit 2023 freuen dürfen

Die Vorfreude auf hochkarätige Vortragende steigt!

Mehr erfahren
01. Aug 2023

Cyberkriminalität – 3 aktuelle Gefahren, mit denen Sie rechnen müssen!

Neuer Bericht des BKI

Mehr erfahren
27. Jul 2023

Webinar ISO/IEC 27001:2022: Was Sie wissen müssen

CIS-Webinar am 9. November

Mehr erfahren
09. Nov 2023

Event: Webinar: Neue ISO 27001:2022 – Das müssen Unternehmen jetzt wissen

Webinarreihe Unternehmen & Qualität – Praxiserprobte Lösungen

Mehr erfahren
06. Jul 2023

Global Threat Report 2023: Trends in aktive Chancen umwandeln

Erkenntnisse, Trends und Handlungsempfehlungen

Mehr erfahren
+43 1 532 98 90