08. Aug 2022

Erfolg und Misserfolg

6 kritische Faktoren der ISMS Umsetzung

Der CIS-Experte Michael Krausz hat sechs wesentliche Tipps für Sie zusammengefasst, wie die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gelingt.

Es gibt viele Gründe, die für eine Zertifizierung nach dem internationalen Standard für Informationssicherheit ISO 27001 sprechen. Drei der wesentlichen Gründe: Man will, man soll oder man muss. Letzteres ist nach Erfahrung des Autors der häufigste Fall in der Praxis, sorgt aber gleichzeitig  auch dafür, dass das „Projekt ISMS“ oft zunächst in einem Umfeld implementiert wird, welches den Einsatz des Managementsystems anfänglich als „lästig“ empfindet.

Wo sollen Unternehmen anfangen? Was benötigt es für einen gelungenen Start? Welche Faktoren sorgen für Erfolg oder im „Worst Case“ Misserfolg bei der Umsetzung? Wir haben sechs Erfolgsfaktoren für Sie zusammengefasst:

1.) Unterstützung des Managements

ISMS-Projekte sind Querschnittsprojekte – sie betreffen fast alle Abteilungen in einem Unternehmen. Im Minimum sind davon HR, Facility Management, Software Development sowie die operative und strategische IT betroffen. Ebenso ist das Thema „Datenschutz“ stets Teil eines ISMS. Damit alle Betroffenen „an Bord“ geholt werden können, ist es wichtig auch entsprechende Unterstützung seitens der Geschäftsführung zu bekommen. Ein ISMS muss von Beginn an so geschneidert werden, dass – vom Vorstand über Teamleiter bis zu Mitarbeitenden – alle den Nutzen nachvollziehen können.

 

2.) Ausreichende Planung

Informationssicherheitsmanagementsysteme sind Großprojekte – selbst in kleinen Unternehmen – da sie viele wesentlichen Kernfunktionen umfassen. Proaktiv sollten somit der externe und interne Aufwand, Milestones wie Gap-Analyse, Risk Treatment Plan und Interne Audits geplant werden aber auch der interne IT-Aufwand oder eventuell vorab anstehende Aufgaben, wie Asset oder Patch Management, müssen berücksichtigt werden. Grob gesagt sind für ein ISMS in einem KMU zwischen 50 und 100 Projekttage (eventuell auch inkl. externer Beratung) und sechs bis neun Monate Durchlaufzeit erforderlich. Der interne Aufwand in der IT variiert sehr stark, weil dieser von ausstehenden To Dos abhängt, welche wiederum erst in der Gap-Analyse festgestellt werden können.

 

3.) Ausreichende Ressourcen

Ist die Planungsphase abgeschlossen, ist es Aufgabe der Geschäftsführung für eine entsprechende Bereitstellung der Ressourcen zu sorgen. Dazu gehört eventuell auch eine Bereitstellung von zusätzlichem Personal für die eigene IT.

 

4.) Externe Unterstützung

Der Autor hat festgestellt, dass es besonders in Österreich oft eine gewisse Scheu gibt, sich extern beraten zu lassen, typischerweise aus völlig irrationalen Motiven. Es sollte jedenfalls vermieden werden, dass ein ISMS-Projekt einschläft, nur weil die Scheu, sich beraten zu lassen, zu groß ist. Externe Unterstützung durch langjährige ISMS-Experten kann eine deutliche Effizienzsteigerung bedeuten, die das interne Team bei seiner ersten ISMS-Implementierung womöglich gar nicht im gleichen Ausmaß schaffen kann.

 

5.) Awareness-Kampagnen

Gerade die seit Sommer 2021 grassierende Welle an Ransomware-Attacken, die in Österreich und auch international sowohl kleine als auch große Unternehmen getroffen hat, macht deutlich wie wichtig Awareness sowie entsprechendes Bewusstsein für Informationssicherheit und Datenschutz sind. Über 90% aller Ransomware Attacken gehen darauf zurück, dass Links in Spam-Mails geklickt wurden. Dies lässt sich mit entsprechendem Know-how leicht verhindern und hat dazu geführt, dass eine gut geplante und implementierte Awareness-Kampagne bereits weit mehr als die halbe Miete ist.

 

6.) Kernprozesse und Abläufe erledigen

Zu den Kernprozessen jedes ISMS zählen:

  • Risikomanagement
  • Awareness
  • Asset Management
  • Patch und Update Management
  • Vulnerability Management
  • Backup/Restore/Business Continuity
  • Kontinuierliche Verbesserung

Hat man diese Prozesse im Griff, dann hat man bereits die Kernelemente eines ISMS verstanden bzw. erfolgreich umgesetzt. Wichtig ist dabei, „den Elefanten des ISMS in ausreichend kleine Teile zu schneiden“, sodass man das Projekt von einem kleinen Erfolg kontinuierlich zum nächsten führen kann und damit eine positive Grundhaltung im Team aufrechterhalten kann.

Oft fordern die Kunden von Betrieben selbst eine entsprechende, zertifizierte Berücksichtigung von Informationssicherheit unter ihren Stakeholdern und Lieferanten oder setzen dies im Zuge von Ausschreibungen voraus. Eine Auseinandersetzung mit der ISO/IEC 27001 für Informationssicherheit macht aber nicht nur dann Sinn, wenn Kundenbedürfnisse gestillt werden sollen. Betriebe profitieren von einem Höchstmaß an Schutz von Daten und Informationen sowie einem geeigneten, zertifizierten Framework mit Wirksamkeitskontrolle und kontinuierlichen Optimierungsschleifen. Ein ISMS kann dabei – je nach Bedürfnissen und Rahmenbedingungen – so individuell gestaltet werden wie die Betriebe selbst.

Sie möchten mehr erfahren? Kontaktieren Sie uns, wir freuen uns auf Sie!

Unser Informationssicherheitsangebot im Überblick

CIS Lehrgangsreihe Information Security Manager nach ISO 27001 Details & Termine
CIS Lehrgangsreihe Information Security Auditor nach ISO 27001 Details & Termine
CIS Seminar ISO/IEC 27701 das Informationssicherheits- und
Datenschutzmanagementsystem
Details & Termine
CIS Seminar Update-Training ISO 27001 / ISO 27002
Details & Termine
CIS Seminar Datenschutz nach ISO/IEC 27701 für
Informationssicherheitsmanager
Details & Termine
auf Anfrage
CIS Spezialtraining ISO 27001 und Cyber Security für Softwareentwickler Details & Termine
auf Anfrage
Webinar Erfolgsfaktor Informationssicherheit und Datenschutz Details & Termine
auf Anfrage

 

Autor

Michael Krausz

CIS Produktexperte

Email

Weitere News & Events

Immer topaktuell informiert

04. Apr 2024

Exklusives Führungskräfte­training für NIS 2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
26. Mrz 2024

Verlängerte Einreichfrist: jetzt bis 30. April 2024 anmelden!

Österreichs “CISO of the Year 2024” gesucht

Mehr erfahren
29. Feb 2024

Die Zukunft von KI und Data Ownership

KI und Datenschutz: Neue Unsicherheiten

Mehr erfahren
27. Feb 2024

Verlieren wir durch Künstliche Intelligenz (KI) die Kontrolle über unsere Daten?

Ein Balanceakt zwischen KI, Informationssicherheit und Data Ownership

Mehr erfahren
15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
+43 1 532 98 90