08. Aug 2022

Erfolg und Misserfolg

6 kritische Faktoren der ISMS Umsetzung

Der CIS-Experte Michael Krausz hat sechs wesentliche Tipps für Sie zusammengefasst, wie die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gelingt.

Es gibt viele Gründe, die für eine Zertifizierung nach dem internationalen Standard für Informationssicherheit ISO 27001 sprechen. Drei der wesentlichen Gründe: Man will, man soll oder man muss. Letzteres ist nach Erfahrung des Autors der häufigste Fall in der Praxis, sorgt aber gleichzeitig  auch dafür, dass das „Projekt ISMS“ oft zunächst in einem Umfeld implementiert wird, welches den Einsatz des Managementsystems anfänglich als „lästig“ empfindet.

Wo sollen Unternehmen anfangen? Was benötigt es für einen gelungenen Start? Welche Faktoren sorgen für Erfolg oder im „Worst Case“ Misserfolg bei der Umsetzung? Wir haben sechs Erfolgsfaktoren für Sie zusammengefasst:

1.) Unterstützung des Managements

ISMS-Projekte sind Querschnittsprojekte – sie betreffen fast alle Abteilungen in einem Unternehmen. Im Minimum sind davon HR, Facility Management, Software Development sowie die operative und strategische IT betroffen. Ebenso ist das Thema „Datenschutz“ stets Teil eines ISMS. Damit alle Betroffenen „an Bord“ geholt werden können, ist es wichtig auch entsprechende Unterstützung seitens der Geschäftsführung zu bekommen. Ein ISMS muss von Beginn an so geschneidert werden, dass – vom Vorstand über Teamleiter bis zu Mitarbeitenden – alle den Nutzen nachvollziehen können.

 

2.) Ausreichende Planung

Informationssicherheitsmanagementsysteme sind Großprojekte – selbst in kleinen Unternehmen – da sie viele wesentlichen Kernfunktionen umfassen. Proaktiv sollten somit der externe und interne Aufwand, Milestones wie Gap-Analyse, Risk Treatment Plan und Interne Audits geplant werden aber auch der interne IT-Aufwand oder eventuell vorab anstehende Aufgaben, wie Asset oder Patch Management, müssen berücksichtigt werden. Grob gesagt sind für ein ISMS in einem KMU zwischen 50 und 100 Projekttage (eventuell auch inkl. externer Beratung) und sechs bis neun Monate Durchlaufzeit erforderlich. Der interne Aufwand in der IT variiert sehr stark, weil dieser von ausstehenden To Dos abhängt, welche wiederum erst in der Gap-Analyse festgestellt werden können.

 

3.) Ausreichende Ressourcen

Ist die Planungsphase abgeschlossen, ist es Aufgabe der Geschäftsführung für eine entsprechende Bereitstellung der Ressourcen zu sorgen. Dazu gehört eventuell auch eine Bereitstellung von zusätzlichem Personal für die eigene IT.

 

4.) Externe Unterstützung

Der Autor hat festgestellt, dass es besonders in Österreich oft eine gewisse Scheu gibt, sich extern beraten zu lassen, typischerweise aus völlig irrationalen Motiven. Es sollte jedenfalls vermieden werden, dass ein ISMS-Projekt einschläft, nur weil die Scheu, sich beraten zu lassen, zu groß ist. Externe Unterstützung durch langjährige ISMS-Experten kann eine deutliche Effizienzsteigerung bedeuten, die das interne Team bei seiner ersten ISMS-Implementierung womöglich gar nicht im gleichen Ausmaß schaffen kann.

 

5.) Awareness-Kampagnen

Gerade die seit Sommer 2021 grassierende Welle an Ransomware-Attacken, die in Österreich und auch international sowohl kleine als auch große Unternehmen getroffen hat, macht deutlich wie wichtig Awareness sowie entsprechendes Bewusstsein für Informationssicherheit und Datenschutz sind. Über 90% aller Ransomware Attacken gehen darauf zurück, dass Links in Spam-Mails geklickt wurden. Dies lässt sich mit entsprechendem Know-how leicht verhindern und hat dazu geführt, dass eine gut geplante und implementierte Awareness-Kampagne bereits weit mehr als die halbe Miete ist.

 

6.) Kernprozesse und Abläufe erledigen

Zu den Kernprozessen jedes ISMS zählen:

  • Risikomanagement
  • Awareness
  • Asset Management
  • Patch und Update Management
  • Vulnerability Management
  • Backup/Restore/Business Continuity
  • Kontinuierliche Verbesserung

Hat man diese Prozesse im Griff, dann hat man bereits die Kernelemente eines ISMS verstanden bzw. erfolgreich umgesetzt. Wichtig ist dabei, „den Elefanten des ISMS in ausreichend kleine Teile zu schneiden“, sodass man das Projekt von einem kleinen Erfolg kontinuierlich zum nächsten führen kann und damit eine positive Grundhaltung im Team aufrechterhalten kann.

Oft fordern die Kunden von Betrieben selbst eine entsprechende, zertifizierte Berücksichtigung von Informationssicherheit unter ihren Stakeholdern und Lieferanten oder setzen dies im Zuge von Ausschreibungen voraus. Eine Auseinandersetzung mit der ISO/IEC 27001 für Informationssicherheit macht aber nicht nur dann Sinn, wenn Kundenbedürfnisse gestillt werden sollen. Betriebe profitieren von einem Höchstmaß an Schutz von Daten und Informationen sowie einem geeigneten, zertifizierten Framework mit Wirksamkeitskontrolle und kontinuierlichen Optimierungsschleifen. Ein ISMS kann dabei – je nach Bedürfnissen und Rahmenbedingungen – so individuell gestaltet werden wie die Betriebe selbst.

Sie möchten mehr erfahren? Kontaktieren Sie uns, wir freuen uns auf Sie!

Unser Informationssicherheitsangebot im Überblick

CIS Lehrgangsreihe Information Security Manager nach ISO 27001 Details & Termine
CIS Lehrgangsreihe Information Security Auditor nach ISO 27001 Details & Termine
CIS Seminar ISO/IEC 27701 das Informationssicherheits- und
Datenschutzmanagementsystem
Details & Termine
CIS Seminar Update-Training ISO 27001 / ISO 27002
Details & Termine
CIS Seminar Datenschutz nach ISO/IEC 27701 für
Informationssicherheitsmanager
Details & Termine
auf Anfrage
CIS Spezialtraining ISO 27001 und Cyber Security für Softwareentwickler Details & Termine
auf Anfrage
Webinar Erfolgsfaktor Informationssicherheit und Datenschutz Details & Termine
auf Anfrage

 

Autor

Michael Krausz

CIS Produktexperte

Email

Weitere News & Events

Immer topaktuell informiert

26. Sep 2022

41-jähriger Sicherheits-Experte ist heimischer „CISO of the Year“

Österreichs beste Chief Information Security Officer geehrt

Mehr erfahren
21. Sep 2022

Experten präsentieren Strategien gegen Cyber-Attacken auf Betriebs­technologie

Das war der CIS Compliance Summit 2022

Mehr erfahren
12. Sep 2022

Wer ist der beste CISO im ganzen Land?

Nicht mehr lange und der Titel „CISO of the Year 2022“ wird erstmals beim diesjährigen CIS Compliance Summit an die oder den besten Chief Information Security…

Mehr erfahren
19. Aug 2022

ISO/IEC 27001:2022 – was ist neu?

Was bedeutet die Revision der ISO 27001 für Unternehmen?

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren
20. Jul 2022

Sommer­gespräch mit DI Helmut Leopold, PhD

Sichere digitale Zukunft durch beherrschbare Digitalsysteme

Mehr erfahren
19. Sep 2023

Event: CIS Compliance Summit 2023

Security | Privacy | Continuity

Mehr erfahren
05. Jul 2022

Klaus Veselko neuer VÖSI-Präsident

Fragen an den neuen VÖSI-Präsidenten

Mehr erfahren
08. Jun 2022

Was Sie beim CIS Compliance Summit 2022 erwartet!

Unsere Speaker – auch heuer wieder geballtes Know-how!

Mehr erfahren
07. Jun 2022

Cyber Defense: entscheidender Erfolgsfaktor (?)

Nur 20 Prozent der österreichischen Groß- und Mittelbetriebe geben an, dass sie über einen Krisenplan für Cyber-Angriffe verfügen.

Mehr erfahren
24. Mai 2022

Laufende Digitalisierung in der Industrie als Treiber

Shooting Star: OT-Security

Mehr erfahren
18. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
+43 732 34 23 22