03620 Wie Sie Fehler bei der Einführung eines ISMS vermeiden
|
Wie gelingt die Einführung eines ISMS nach ISO/IEC 27001 effizient, wirtschaftlich und auditfest? Dieser Fachbeitrag analysiert die häufigsten Fehler bei Planung, Projektmanagement, Schulung, Zertifizierung und kontinuierlicher Verbesserung eines Informationssicherheitsmanagementsystems. Der Beitrag erläutert die 13 häufigsten systembezogenen Fehler bei der Einführung eines Informationssicherheitsmanagementsystems – etwa unklare Ziele, unrealistische Erwartungen, fehlende Mitarbeiterbeteiligung, unzureichende Schwachstellenanalyse oder nachlassende Aktivitäten nach der Erst-Zertifizierung. So erhalten Unternehmen eine fundierte Orientierung für eine erfolgreiche und nachhaltige ISMS-Implementierung. von: |
1 Welche grundsätzlichen Fehler sind bei der Einführung und Zertifizierung eines Informationsecuritymanagementsystems zu beobachten?
Ein hohes Maß an Problemen ergibt sich oftmals schon daraus, dass im Unternehmen keine Klarheit über die Ziele der Einführung und Zertifizierung eines Information-Security- Management-Systems (ISMS) bestehen. Daher ist zunächst grundsätzlich zu klären, ob das ISMS
| • | ausschließlich zu dem Zweck eingeführt wird, die Normforderungen der ISO/IEC 27001 zu erfüllen und das Zertifikat zu erlangen (in diesem Fall geht es dem Unternehmen nicht um ein effektives ISMS, sondern ausschließlich um das Zertifikat), oder ob es |
| • | mit dem strategischen Ziel eingeführt wird, die gesamten Informationssicherheitsstrukuren und -prozesse im Unternehmen zu verbessern, um Kosten einzusparen und das Sicherheitsniveau signifikant zu erhöhen. |
System- und normbezogene Umsetzungsfehler
Unabhängig von der Zielrichtung können bei der Einführung und Zertifizierung des ISMS zwei Fehlerklassen unterschieden werden:
Unabhängig von der Zielrichtung können bei der Einführung und Zertifizierung des ISMS zwei Fehlerklassen unterschieden werden:
| • | systembezogene Umsetzungsfehler Diese beziehen sich insbesondere auf das Gesamtprojekt Einführung und Zertifizierung des ISMS, also auf die Projektorganisation, auf die Planung und Durchführung der einzelnen Projektschritte sowie auf die Abstimmung des ISMS mit anderen Managementsystemen. |
| • | normbezogene Umsetzungsfehler Diese entstehen hingegen bei der Analyse der einzelnen Forderungen der ISO/IEC 27001 sowie bei der Planung und Umsetzung der Maßnahmen, mit denen die Normforderungen erfüllt werden sollen. Als Beispiel sei hier ein unvollständiges oder fehlerhaftes „Statement of Applicability (SoA)” genannt. |
Im Folgenden werden die 13 wichtigsten systembezogenen Umsetzungsfehler beschrieben, die in der Praxis immer wieder zu beobachten sind. Zu jedem Punkt ist jeweils eine Empfehlung aufgeführt, wie sich derartige Fehler vermeiden lassen.
Normbezogene Umsetzungsfehler sind in der Regel projekt- und unternehmensspezifisch und werden in diesem Beitrag nicht weiter behandelt.
2 Die 13 häufigsten systembezogenen Fehler bei der Einführung des ISMS nach ISO/IEC 27001
Die systembezogenen Fehler betreffen zum einen die Integration der relevanten ISMS-Richtlinien und -Prozesse in die Aufbau- und Ablauforganisation des Unternehmens. Sie beziehen sich aber auch auf die anschließende Phase der Zertifizierung und die Phasen nach der Erst-Zertifizierung.
2.1 Fehler 1: Geschäftsleitung steht nicht hinter dem Projekt „Einführung eines ISMS”
Um was geht es?
In der Praxis tritt häufig das Problem auf, dass die Geschäftsleitung zwar die Einführung eines ISMS und die anschließende Zertifizierung beschließt, dieses Vorhaben jedoch danach nicht weiter kommuniziert, fordert und fördert. Die Gefahr eines solchen Verhaltens besteht insbesondere dann, wenn die Einführung nicht freiwillig, sondern unter dem Druck des Marktes erfolgt.
In der Praxis tritt häufig das Problem auf, dass die Geschäftsleitung zwar die Einführung eines ISMS und die anschließende Zertifizierung beschließt, dieses Vorhaben jedoch danach nicht weiter kommuniziert, fordert und fördert. Die Gefahr eines solchen Verhaltens besteht insbesondere dann, wenn die Einführung nicht freiwillig, sondern unter dem Druck des Marktes erfolgt.
Mission Statement
Um ein hohes Maß an Akzeptanz bei den Führungskräften und Mitarbeitern für das ISMS zu erzielen, ist es unverzichtbar, dass die Geschäftsleitung ein Mission Statement zum ISMS abgibt. Hierbei handelt es sich um ein ausdrückliches Bekenntnis der Leitung zur Informationssicherheit. Diese Deklaration ist insbesondere deshalb so wichtig, weil die Geschäftsleitung die Ressourcen für die Implementierung des ISMS freizugeben hat und sie letztlich auch für den Erfolg des ISMS verantwortlich ist. Das Mission Statement gilt nicht nur für die Einführungsphase, sondern insbesondere auch für die Betriebsphase.
Um ein hohes Maß an Akzeptanz bei den Führungskräften und Mitarbeitern für das ISMS zu erzielen, ist es unverzichtbar, dass die Geschäftsleitung ein Mission Statement zum ISMS abgibt. Hierbei handelt es sich um ein ausdrückliches Bekenntnis der Leitung zur Informationssicherheit. Diese Deklaration ist insbesondere deshalb so wichtig, weil die Geschäftsleitung die Ressourcen für die Implementierung des ISMS freizugeben hat und sie letztlich auch für den Erfolg des ISMS verantwortlich ist. Das Mission Statement gilt nicht nur für die Einführungsphase, sondern insbesondere auch für die Betriebsphase.
Zum Mission Statement gehören die Formulierung einer Informationssicherheitspolitik und die Überwachung und Förderung des Projektfortschritts zumindest in groben Zügen. Wichtig ist darüber hinaus, dass die Geschäftsleitung ein Sicherheitsbewusstsein bei allen Mitarbeitern schafft und Informationssicherheit als Führungsaufgabe begreift. Wenn die Geschäftsleitung sich klar zum ISMS bekennt und als Promotor wirkt, lässt sich erfahrungsgemäß die Einführungszeit des Projekts „ISO/IEC 27001” erheblich verkürzen.
2.2 Fehler 2: Falsche Erwartungen an die Leistungsfähigkeit eines ISMS
Um was geht es?
Wurde das ISMS eingeführt und nach ISO/IEC 27001 zertifiziert, besteht im Unternehmen, insbesondere bei der Geschäftsleitung und den Führungskräften, nicht selten die Erwartung, dass sich die erforderliche Informationssicherheit quasi von selbst einstellt.
Wurde das ISMS eingeführt und nach ISO/IEC 27001 zertifiziert, besteht im Unternehmen, insbesondere bei der Geschäftsleitung und den Führungskräften, nicht selten die Erwartung, dass sich die erforderliche Informationssicherheit quasi von selbst einstellt.
ISO/IEC 27001 als Mindeststandard?
In diesem Zusammenhang ist darauf zu verweisen, dass es sich bei der ISO/IEC 27001 um eine Norm handelt, die einen Mindeststandard von sicherheitsrelevanten Aktivitäten im Unternehmen fordert. In besonders gelagerten Fällen bedarf es weiterer Anstrengungen zur Verbesserung und Aufrechterhaltung der Informationssicherheit.
In diesem Zusammenhang ist darauf zu verweisen, dass es sich bei der ISO/IEC 27001 um eine Norm handelt, die einen Mindeststandard von sicherheitsrelevanten Aktivitäten im Unternehmen fordert. In besonders gelagerten Fällen bedarf es weiterer Anstrengungen zur Verbesserung und Aufrechterhaltung der Informationssicherheit.