Erfolg und Misserfolg
6 kritische Faktoren der ISMS Umsetzung
Der CIS-Experte Michael Krausz hat sechs wesentliche Tipps für Sie zusammengefasst, wie die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gelingt.
Es gibt viele Gründe, die für eine Zertifizierung nach dem internationalen Standard für Informationssicherheit ISO 27001 sprechen. Drei der wesentlichen Gründe: Man will, man soll oder man muss. Letzteres ist nach Erfahrung des Autors der häufigste Fall in der Praxis, sorgt aber gleichzeitig auch dafür, dass das „Projekt ISMS“ oft zunächst in einem Umfeld implementiert wird, welches den Einsatz des Managementsystems anfänglich als „lästig“ empfindet.
Wo sollen Unternehmen anfangen? Was benötigt es für einen gelungenen Start? Welche Faktoren sorgen für Erfolg oder im „Worst Case“ Misserfolg bei der Umsetzung? Wir haben sechs Erfolgsfaktoren für Sie zusammengefasst:
1.) Unterstützung des Managements
ISMS-Projekte sind Querschnittsprojekte – sie betreffen fast alle Abteilungen in einem Unternehmen. Im Minimum sind davon HR, Facility Management, Software Development sowie die operative und strategische IT betroffen. Ebenso ist das Thema „Datenschutz“ stets Teil eines ISMS. Damit alle Betroffenen „an Bord“ geholt werden können, ist es wichtig auch entsprechende Unterstützung seitens der Geschäftsführung zu bekommen. Ein ISMS muss von Beginn an so geschneidert werden, dass – vom Vorstand über Teamleiter bis zu Mitarbeitenden – alle den Nutzen nachvollziehen können.
2.) Ausreichende Planung
Informationssicherheitsmanagementsysteme sind Großprojekte – selbst in kleinen Unternehmen – da sie viele wesentlichen Kernfunktionen umfassen. Proaktiv sollten somit der externe und interne Aufwand, Milestones wie Gap-Analyse, Risk Treatment Plan und Interne Audits geplant werden aber auch der interne IT-Aufwand oder eventuell vorab anstehende Aufgaben, wie Asset oder Patch Management, müssen berücksichtigt werden. Grob gesagt sind für ein ISMS in einem KMU zwischen 50 und 100 Projekttage (eventuell auch inkl. externer Beratung) und sechs bis neun Monate Durchlaufzeit erforderlich. Der interne Aufwand in der IT variiert sehr stark, weil dieser von ausstehenden To Dos abhängt, welche wiederum erst in der Gap-Analyse festgestellt werden können.
3.) Ausreichende Ressourcen
Ist die Planungsphase abgeschlossen, ist es Aufgabe der Geschäftsführung für eine entsprechende Bereitstellung der Ressourcen zu sorgen. Dazu gehört eventuell auch eine Bereitstellung von zusätzlichem Personal für die eigene IT.
4.) Externe Unterstützung
Der Autor hat festgestellt, dass es besonders in Österreich oft eine gewisse Scheu gibt, sich extern beraten zu lassen, typischerweise aus völlig irrationalen Motiven. Es sollte jedenfalls vermieden werden, dass ein ISMS-Projekt einschläft, nur weil die Scheu, sich beraten zu lassen, zu groß ist. Externe Unterstützung durch langjährige ISMS-Experten kann eine deutliche Effizienzsteigerung bedeuten, die das interne Team bei seiner ersten ISMS-Implementierung womöglich gar nicht im gleichen Ausmaß schaffen kann.
5.) Awareness-Kampagnen
Gerade die seit Sommer 2021 grassierende Welle an Ransomware-Attacken, die in Österreich und auch international sowohl kleine als auch große Unternehmen getroffen hat, macht deutlich wie wichtig Awareness sowie entsprechendes Bewusstsein für Informationssicherheit und Datenschutz sind. Über 90% aller Ransomware Attacken gehen darauf zurück, dass Links in Spam-Mails geklickt wurden. Dies lässt sich mit entsprechendem Know-how leicht verhindern und hat dazu geführt, dass eine gut geplante und implementierte Awareness-Kampagne bereits weit mehr als die halbe Miete ist.
6.) Kernprozesse und Abläufe erledigen
Zu den Kernprozessen jedes ISMS zählen:
- Risikomanagement
- Awareness
- Asset Management
- Patch und Update Management
- Vulnerability Management
- Backup/Restore/Business Continuity
- Kontinuierliche Verbesserung
Hat man diese Prozesse im Griff, dann hat man bereits die Kernelemente eines ISMS verstanden bzw. erfolgreich umgesetzt. Wichtig ist dabei, „den Elefanten des ISMS in ausreichend kleine Teile zu schneiden“, sodass man das Projekt von einem kleinen Erfolg kontinuierlich zum nächsten führen kann und damit eine positive Grundhaltung im Team aufrechterhalten kann.
Oft fordern die Kunden von Betrieben selbst eine entsprechende, zertifizierte Berücksichtigung von Informationssicherheit unter ihren Stakeholdern und Lieferanten oder setzen dies im Zuge von Ausschreibungen voraus. Eine Auseinandersetzung mit der ISO/IEC 27001 für Informationssicherheit macht aber nicht nur dann Sinn, wenn Kundenbedürfnisse gestillt werden sollen. Betriebe profitieren von einem Höchstmaß an Schutz von Daten und Informationen sowie einem geeigneten, zertifizierten Framework mit Wirksamkeitskontrolle und kontinuierlichen Optimierungsschleifen. Ein ISMS kann dabei – je nach Bedürfnissen und Rahmenbedingungen – so individuell gestaltet werden wie die Betriebe selbst.
Sie möchten mehr erfahren? Kontaktieren Sie uns, wir freuen uns auf Sie!
Unser Informationssicherheitsangebot im Überblick
CIS Lehrgangsreihe | Information Security Manager nach ISO 27001 | Details & Termine |
CIS Lehrgangsreihe | Information Security Auditor nach ISO 27001 | Details & Termine |
CIS Seminar | ISO/IEC 27701 das Informationssicherheits- und Datenschutzmanagementsystem |
Details & Termine |
CIS Seminar | Update-Training ISO 27001 / ISO 27002 |
Details & Termine |
CIS Seminar | Datenschutz nach ISO/IEC 27701 für Informationssicherheitsmanager |
Details & Termine auf Anfrage |
CIS Spezialtraining | ISO 27001 und Cyber Security für Softwareentwickler | Details & Termine auf Anfrage |
Webinar | Erfolgsfaktor Informationssicherheit und Datenschutz | Details & Termine auf Anfrage |