Der erfolgreiche Weg zur ISMS-Zertifizierung

Sofern es sich nicht um eine sehr junges Unternehmen oder um ein Unternehmen in einem frühen Entwicklungsstadium handelt, ist es sehr wahrscheinlich, dass es bereits über ein Managementsystem wie z. B. zum Thema Qualität oder zur Förderung des Umweltbewusstseins verfügt. Die Umsetzung und Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) unterscheidet sich nicht wesentlich von anderen Prozessen, erfordert jedoch ein Verständnis der durch die jeweiligen Rollen der Mitarbeiter bedingten Risiken und Fallstricke.

In jedem Managementsystem bedarf es der Unterstützung und Führung durch die obersten Managementebenen, auch wenn die betreffenden Personen nicht stark in das Tagesgeschäft eingebunden sind. In kleineren Unternehmen hat der Geschäftsführer möglicherweise eine sehr aktive, praktische Rolle; in einem großen und diversifizierten Unternehmen kann eine einzelne Person sich jedoch kaum umfassend mit allen Aktivitäten befassen. Dennoch darf sich die Unternehmensleitung nicht von Verfahren distanzieren, sondern muss das gleiche Interesse und Engagement zeigen, das sie von ihren Mitarbeitern erwartet. Sie kann dem Team die Risiken darlegen, die ein schlechtes Management der Informationssicherheit für den Ruf, die Leistung und dergleichen mit sich bringt, und sich engagiert an Diskussionen beteiligen.

Führung von oben nach unten

Zunächst besteht die Aufgabe von Führungskräften darin, sich einen Überblick über die jeweilige Materie zu verschaffen, vorzugsweise mit Unterstützung von Mitarbeitern sowie externen Experten wie einer Zertifizierungsstelle. Führungskräfte sollten wissen, was die Anwendung und die Auswirkungen der betreffenden Norm für Ihr Unternehmen bedeuten, und sie sollten in der Lage sein, dies anderen zu vermitteln. Sie sollten auch wissen, wie aktuelle Prozesse und Risiken identifiziert werden und zu handhaben sind.

Im Hinblick auf das Informationssicherheitsmanagement sollten Sie sich zunächst ein Exemplar der entsprechenden Norm, ISO/IEC 27001, sowie aller damit verbundenen Richtlinien und Ergänzungen beschaffen. Anschließend sollte ein Team zusammengestellt werden, das die Entwicklung vorantreibt. Bei der Zusammenstellung des Teams sollten alle Bereiche der Belegschaft sowie des Unternehmens einbezogen werden.

Es liegt in der Natur der Sache, dass Informationssicherheit einen großen Beitrag und operative Maßnahmen durch IT- und Tech-Spezialisten des Unternehmens erfordert. Diese können Risikobereiche am besten identifizieren und mögliche Schutzmaßnahmen und Lösungen vorschlagen. Im Falle eines erfolgreichen Cyberangriffs fällt ihnen auch die Aufgabe zu, die Systeme wiederherzustellen und den Normalbetrieb wieder herzustellen. Das Tech-Team sollte damit beauftragt werden, ein Backup-System zu entwickeln, mit dem die Sicherheit erhöht werden kann, indem die Daten auf einem isolierten Offline-System gesichert werden, das nicht für Ransomware und ähnliche Bedrohungen anfällig ist.

Vermutlich identifiziert dieses Team andere Mitarbeiter als Schwachstelle in der Datensicherheitskette, und in gewisser Weise hat es damit auch recht. Diese Mitarbeiter benötigen zusätzliche Unterstützung bei der Identifizierung und dem Umgang mit möglichen Cyberbedrohunge, da jeder Einzelne einen wichtigen Beitrag zum Unternehmenserfolg leistet. 

Einbindung von Mitarbeitern aller Ebenen

Obwohl die Aufgabe des Tech-Teams darin besteht, ein Rahmenwerk zu schaffen, ist es unerlässlich, dass auch die Arbeitsweise und die Bedürfnisse anderer Abteilungen und Mitarbeiter dabei berücksichtigt werden. Ein System, das so sicher wie Fort Knox ist, den Mitarbeitern aber nicht die Möglichkeit gibt, ihre Arbeit zu verrichten, ist eher nachteilig für den Geschäftserfolg. Außerdem sollte das System so gestaltet werden, dass es den Richtlinien der ISO-Norm entspricht, da anderenfalls keine Zertifizierung möglich ist.

Die für die Qualitätskontrolle zuständigen Manager und Mitarbeiter sollten bestrebt sein, dass ISMS auf andere Managementsysteme im Unternehmen abzustimmen. Aufeinander abgestimmte Systeme gewährleisten eine effizientere Organisation und bedeuten in der Regel, dass der Zeit- und Kostenaufwand für Audits reduziert werden kann, da verschiedene Systeme gleichzeitig auditiert werden können.

In eher kunden- und lieferantenorientierten Bereichen von Unternehmen ist das Informationsnetzwerk möglicherweise mit dem anderer verbunden. Diese Bereiche können Schwachstellen darstellen, wenn eines der Unternehmen dem Informationsmanagement eine geringere Bedeutung beimisst. Mitarbeiter, die in diesen Bereichen tätig sind, sind häufig einem gewissen Druck ausgesetzt, ihre Ziele zu erreichen, und die leistungsorientierte  tägliche Arbeit in Verbindung mit dem Kontakt zu anderen Organisationen erfordert ein angemessenes Vorgehen.

Gewährleistung der Zweckmäßigkeit des Systems

Bei der Entwicklung des Systems sind die künftige Handhabung und Optimierung zu berücksichtigen. Neue Softwareplattformen könnten zwar von Vorteil sein, aber auch die relevanten Prozesse sollten zu diesem Zeitpunkt effektiv dokumentiert und festgelegt werden. In dieser Phase ist die Zusammenarbeit aller Teammitglieder erforderlich. Schulung und die Unterstützung durch die Zertifizierungsstelle könnten hilfreich sein, um sicherzustellen, dass das System für den vorgesehenen Zweck geeignet ist.

Der nächste Schritt, die tatsächliche Einführung des Systems, kann sich als der schwierigste erweisen, da dieser wahrscheinlich einige Änderungen im Hinblick auf die Arbeitsabläufe erfordert. Aus diesem Grund müssen die Prozesse und Praktiken ständig überprüft und bewertet werden, und wenn Probleme festgestellt werden, müssen alle Parteien entscheiden, wie die Probleme am besten gelöst werden können. Nachdem das System eingeführt, über einen angemessenen Zeitraum hinweg angewendet wurde und mindestens ein internes Audit durchgeführt wurde, ist es an der Zeit, eine Zertifizierung zu beauftragen.

Um Sie auf Ihrem Weg zur ISO/IEC 27001-Konformität zu unterstützen, können Sie die Self-Assessment-Suite  von DNV nutzen, um zu erfahren, ob Sie für die Zertifizierung gerüstet sind.

Die Zusammenarbeit mit der Zertifizierungsstelle dürfte langfristig ausgelegt sein, da Ihre Zertifizierung aufrechterhalten werden muss. Ein effizientes Managementsystem erfordert fortlaufende Verbesserungen. DNV unterstützt Sie bei der Zertifizierung mit einem partnerschaftlichen Ansatz, risikobasierten Audits und digitalen Tools zur Steigerung der Effizienz und fortlaufenden Verbesserung.