03620 Wie Sie Fehler bei der Einführung eines ISMS vermeiden
|
Immer wieder ist zu beobachten, dass der Begriff „Information Security Management System” nach ISO/IEC 27001 negative Reaktionen hervorruft. So klagen viele Unternehmen darüber, dass die Einführung eines Systems nach ISO/IEC 27001 mit einem hohen Zeit- und Kostenaufwand verbunden ist. Dies liegt nicht zuletzt daran, dass bei der Einführung und Zertifizierung eines derartigen Systems oftmals eklatante Fehler gemacht werden. In diesem Beitrag stellen wir Ihnen Fehler vor, die bei der Planung, Vorbereitung, Einführung, Zertifizierung und Weiterentwicklung eines Informationssicherheitssystems in der Praxis immer wieder zu beobachten sind, und geben Ihnen wichtige Hinweise, wie diese Fehler vermieden werden können. von: |
1 Welche grundsätzlichen Fehler sind bei der Einführung und Zertifizierung eines Information- Security-Managementsystems zu beobachten?
Ein hohes Maß an Problemen ergibt sich oftmals schon daraus, dass im Unternehmen keine Klarheit über die Ziele der Einführung und Zertifizierung eines Information-Security- Management-Systems (ISMS) bestehen. Daher ist zunächst grundsätzlich zu klären, ob das ISMS
| • | ausschließlich zu dem Zweck eingeführt wird, die Normforderungen der ISO/IEC 27001 zu erfüllen und das Zertifikat zu erlangen (in diesem Fall geht es dem Unternehmen nicht um ein effektives ISMS, sondern ausschließlich um das Zertifikat), oder ob es |
| • | mit dem strategischen Ziel eingeführt wird, die gesamten Informationssicherheitsstrukuren und -prozesse im Unternehmen zu verbessern, um Kosten einzusparen und das Sicherheitsniveau signifikant zu erhöhen. |
System- und normbezogene Umsetzungsfehler
Unabhängig von der Zielrichtung können bei der Einführung und Zertifizierung des ISMS zwei Fehlerklassen unterschieden werden:
Unabhängig von der Zielrichtung können bei der Einführung und Zertifizierung des ISMS zwei Fehlerklassen unterschieden werden:
| • | systembezogene Umsetzungsfehler Diese beziehen sich insbesondere auf das Gesamtprojekt Einführung und Zertifizierung des ISMS, also auf die Projektorganisation, auf die Planung und Durchführung der einzelnen Projektschritte sowie auf die Abstimmung des ISMS mit anderen Managementsystemen. |
| • | normbezogene Umsetzungsfehler Diese entstehen hingegen bei der Analyse der einzelnen Forderungen der ISO/IEC 27001 sowie bei der Planung und Umsetzung der Maßnahmen, mit denen die Normforderungen erfüllt werden sollen. Als Beispiel sei hier ein unvollständiges oder fehlerhaftes „Statement of Applicability (SoA)” genannt. |
Im Folgenden werden die 13 wichtigsten systembezogenen Umsetzungsfehler beschrieben, die in der Praxis immer wieder zu beobachten sind. Zu jedem Punkt ist jeweils eine Empfehlung aufgeführt, wie sich derartige Fehler vermeiden lassen.
