08. Aug 2022

Erfolg und Misserfolg

6 kritische Faktoren der ISMS Umsetzung

Der CIS-Experte Michael Krausz hat sechs wesentliche Tipps für Sie zusammengefasst, wie die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gelingt.

Es gibt viele Gründe, die für eine Zertifizierung nach dem internationalen Standard für Informationssicherheit ISO 27001 sprechen. Drei der wesentlichen Gründe: Man will, man soll oder man muss. Letzteres ist nach Erfahrung des Autors der häufigste Fall in der Praxis, sorgt aber gleichzeitig  auch dafür, dass das „Projekt ISMS“ oft zunächst in einem Umfeld implementiert wird, welches den Einsatz des Managementsystems anfänglich als „lästig“ empfindet.

Wo sollen Unternehmen anfangen? Was benötigt es für einen gelungenen Start? Welche Faktoren sorgen für Erfolg oder im „Worst Case“ Misserfolg bei der Umsetzung? Wir haben sechs Erfolgsfaktoren für Sie zusammengefasst:

1.) Unterstützung des Managements

ISMS-Projekte sind Querschnittsprojekte – sie betreffen fast alle Abteilungen in einem Unternehmen. Im Minimum sind davon HR, Facility Management, Software Development sowie die operative und strategische IT betroffen. Ebenso ist das Thema „Datenschutz“ stets Teil eines ISMS. Damit alle Betroffenen „an Bord“ geholt werden können, ist es wichtig auch entsprechende Unterstützung seitens der Geschäftsführung zu bekommen. Ein ISMS muss von Beginn an so geschneidert werden, dass – vom Vorstand über Teamleiter bis zu Mitarbeitenden – alle den Nutzen nachvollziehen können.

 

2.) Ausreichende Planung

Informationssicherheitsmanagementsysteme sind Großprojekte – selbst in kleinen Unternehmen – da sie viele wesentlichen Kernfunktionen umfassen. Proaktiv sollten somit der externe und interne Aufwand, Milestones wie Gap-Analyse, Risk Treatment Plan und Interne Audits geplant werden aber auch der interne IT-Aufwand oder eventuell vorab anstehende Aufgaben, wie Asset oder Patch Management, müssen berücksichtigt werden. Grob gesagt sind für ein ISMS in einem KMU zwischen 50 und 100 Projekttage (eventuell auch inkl. externer Beratung) und sechs bis neun Monate Durchlaufzeit erforderlich. Der interne Aufwand in der IT variiert sehr stark, weil dieser von ausstehenden To Dos abhängt, welche wiederum erst in der Gap-Analyse festgestellt werden können.

 

3.) Ausreichende Ressourcen

Ist die Planungsphase abgeschlossen, ist es Aufgabe der Geschäftsführung für eine entsprechende Bereitstellung der Ressourcen zu sorgen. Dazu gehört eventuell auch eine Bereitstellung von zusätzlichem Personal für die eigene IT.

 

4.) Externe Unterstützung

Der Autor hat festgestellt, dass es besonders in Österreich oft eine gewisse Scheu gibt, sich extern beraten zu lassen, typischerweise aus völlig irrationalen Motiven. Es sollte jedenfalls vermieden werden, dass ein ISMS-Projekt einschläft, nur weil die Scheu, sich beraten zu lassen, zu groß ist. Externe Unterstützung durch langjährige ISMS-Experten kann eine deutliche Effizienzsteigerung bedeuten, die das interne Team bei seiner ersten ISMS-Implementierung womöglich gar nicht im gleichen Ausmaß schaffen kann.

 

5.) Awareness-Kampagnen

Gerade die seit Sommer 2021 grassierende Welle an Ransomware-Attacken, die in Österreich und auch international sowohl kleine als auch große Unternehmen getroffen hat, macht deutlich wie wichtig Awareness sowie entsprechendes Bewusstsein für Informationssicherheit und Datenschutz sind. Über 90% aller Ransomware Attacken gehen darauf zurück, dass Links in Spam-Mails geklickt wurden. Dies lässt sich mit entsprechendem Know-how leicht verhindern und hat dazu geführt, dass eine gut geplante und implementierte Awareness-Kampagne bereits weit mehr als die halbe Miete ist.

 

6.) Kernprozesse und Abläufe erledigen

Zu den Kernprozessen jedes ISMS zählen:

  • Risikomanagement
  • Awareness
  • Asset Management
  • Patch und Update Management
  • Vulnerability Management
  • Backup/Restore/Business Continuity
  • Kontinuierliche Verbesserung

Hat man diese Prozesse im Griff, dann hat man bereits die Kernelemente eines ISMS verstanden bzw. erfolgreich umgesetzt. Wichtig ist dabei, „den Elefanten des ISMS in ausreichend kleine Teile zu schneiden“, sodass man das Projekt von einem kleinen Erfolg kontinuierlich zum nächsten führen kann und damit eine positive Grundhaltung im Team aufrechterhalten kann.

Oft fordern die Kunden von Betrieben selbst eine entsprechende, zertifizierte Berücksichtigung von Informationssicherheit unter ihren Stakeholdern und Lieferanten oder setzen dies im Zuge von Ausschreibungen voraus. Eine Auseinandersetzung mit der ISO/IEC 27001 für Informationssicherheit macht aber nicht nur dann Sinn, wenn Kundenbedürfnisse gestillt werden sollen. Betriebe profitieren von einem Höchstmaß an Schutz von Daten und Informationen sowie einem geeigneten, zertifizierten Framework mit Wirksamkeitskontrolle und kontinuierlichen Optimierungsschleifen. Ein ISMS kann dabei – je nach Bedürfnissen und Rahmenbedingungen – so individuell gestaltet werden wie die Betriebe selbst.

Sie möchten mehr erfahren? Kontaktieren Sie uns, wir freuen uns auf Sie!

Unser Informationssicherheitsangebot im Überblick

CIS Lehrgangsreihe Information Security Manager nach ISO 27001 Details & Termine
CIS Lehrgangsreihe Information Security Auditor nach ISO 27001 Details & Termine
CIS Seminar ISO/IEC 27701 das Informationssicherheits- und
Datenschutzmanagementsystem
Details & Termine
CIS Seminar Update-Training ISO 27001 / ISO 27002
Details & Termine
CIS Seminar Datenschutz nach ISO/IEC 27701 für
Informationssicherheitsmanager
Details & Termine
auf Anfrage
CIS Spezialtraining ISO 27001 und Cyber Security für Softwareentwickler Details & Termine
auf Anfrage
Webinar Erfolgsfaktor Informationssicherheit und Datenschutz Details & Termine
auf Anfrage

 

Autor

Michael Krausz

CIS Produktexperte

Email

Weitere News & Events

Immer topaktuell informiert

17. Mai 2023

Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Lassen Sie sich hacken!

Ethical Hacking als Trend in der Security Branche

Mehr erfahren
10. Mai 2023

Top-Secret-Strategien für mehr Informations­sicherheit

Mit ungewöhnlichen Maßnahmen Mitarbeitende sensibilisieren

Mehr erfahren
03. Mai 2023

Wie Sie Ihr Unternehmen vor Daten­missbrauch schützen

Ein effektives Managementsystem kann helfen, die Informationen und Daten des Unternehmens zu schützen und vor Cyber-Attacken zu sichern.

Mehr erfahren
11. Apr 2023

8 Tipps für mehr Security in der „New Work“ Arbeitswelt

Hier ein paar Tipps und Tricks für mehr Sicherheit in der „New Work“ Umgebung.

Mehr erfahren
03. Apr 2023

New Work – Provokation nutzen und Potenzial leben

Neue Wege in der Sicherheit sind gefragt, um eine sichere Arbeitsumgebung zu schaffen.

Mehr erfahren
14. Mrz 2023

Einreichfrist ver­längert: Österreichs beste und bester Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 21. April 2023 möglich

Mehr erfahren
01. Mrz 2023

ISO 27001 trifft Cyber Trust Austria® Label: Das i-Tüpfelchen der Security

Success Story am Beispiel von ACP

Mehr erfahren
07. Feb 2023

Sicherheits­maßnahmen für Unternehmen am Safer Internet Day

Ein sicheres Netz geht uns alle etwas an - inwiefern können auch Unternehmen und Organisationen zu einem sicheren Internet beitragen?

Mehr erfahren
31. Jan 2023

Wachsende Angriffsfläche durch Digitalisierungsschub

30. Jan 2023

Harald Erkinger ist neuer Geschäftsführer der CIS

Erfahrener IT- und Cybersicherheits-Experte neuer CEO

Mehr erfahren
05. Dez 2022

NIS 2.0 – was kommt auf uns zu?

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

Mehr erfahren
30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

+43 732 34 23 22