05170 Kommunikationsplan
|
Der Kommunikationsplan ist ein Instrument, um die Informationsverteilung und Gesprächsbedarfe rund um ein Informationssicherheitsprojekt vorausschauend zu strukturieren. Bei seiner Erstellung wird festgelegt, zu welchen Themen mit welchen interessierten Parteien (Stakeholder) über welche Kanäle zu welchen Zeitpunkten kommuniziert wird und zudem, wer die Kommunikation durchführt.
In der ISO/IEC 27001 wird im Normkapitel 7.4 eine „Bestimmung” der Kommunikation zum Informationsmanagementsystem angeregt, wie sie durch einen Kommunikationsplan erfüllt werden kann. Untersuchungen zeigen zudem, dass Projekte, wie z. B. Verbesserungsvorhaben, häufig an mangelnder Kommunikation scheitern.
Dieser Beitrag beschreibt den grundsätzlichen Aufbau des Kommunikationsplans. Es wird dargestellt, welche Kommunikationskanäle existieren und wann diese genutzt werden können. Mit jedem Kanal sind typische Vor- und Nachteile verbunden, diese werden für eine individuelle Abwägung jeweils gegenübergestellt. Der Beitrag enthält Hinweise für die Erstellung des Kommunikationsplans ausgehend von der Stakeholderanalyse sowie der RACI-Matrix. Erfolgsfaktoren der Anwendung runden die Ausführungen ab. Arbeitshilfen: von: |
1 Kurzbeschreibung Kommunikationsplan
Problemstellung
Verbesserungen der Informationssicherheit (IS) sind typische Veränderungsprojekte: Es soll etwas punktuell verbessert oder beispielsweise auch ein komplettes IS-Managementsystem (ISM) eingeführt werden. Von einem Projekt wird immer dann gesprochen, wenn es sich um eine klar definierte Sonderaufgabe handelt, die aus der Routine der Beteiligten fällt und dedizierte Ressourcen, wie z. B. eine eigens gebildete Projektgruppe erfordert. IS-Verbesserungsvorhaben erfüllen diese Definition und sind daher als Projekt zu betrachten.
Verbesserungen der Informationssicherheit (IS) sind typische Veränderungsprojekte: Es soll etwas punktuell verbessert oder beispielsweise auch ein komplettes IS-Managementsystem (ISM) eingeführt werden. Von einem Projekt wird immer dann gesprochen, wenn es sich um eine klar definierte Sonderaufgabe handelt, die aus der Routine der Beteiligten fällt und dedizierte Ressourcen, wie z. B. eine eigens gebildete Projektgruppe erfordert. IS-Verbesserungsvorhaben erfüllen diese Definition und sind daher als Projekt zu betrachten.
Projekte scheitern oft an mangelnder Kommunikation
Projekte scheitern oftmals an mangelnder Kommunikation. Dies umfasst Fälle, in denen Mitarbeiter benötigte Informationen nicht, zu spät oder nicht in der gebotenen Güte erhalten. Zudem sind damit die Fälle gemeint, in denen am IS-Projekt interessierte Parteien nicht angemessen informiert werden.
Projekte scheitern oftmals an mangelnder Kommunikation. Dies umfasst Fälle, in denen Mitarbeiter benötigte Informationen nicht, zu spät oder nicht in der gebotenen Güte erhalten. Zudem sind damit die Fälle gemeint, in denen am IS-Projekt interessierte Parteien nicht angemessen informiert werden.
Ein Beispiel verdeutlicht dies: Ein Projektteam entwickelt eine eigene Intranet-Weblösung, mit der Verbesserungsideen zur Informationssicherheit eingereicht werden können. Die Software wird planmäßig ausgerollt, doch ein halbes Jahr später zeigt sich, dass kaum Ideen per Web übermittelt werden. Stattdessen werden deutlich mehr Ideen nach wie vor per Mail an die Abteilung herangetragen. Der Erfolg des Projektes wird in Frage gestellt. Eine nun durchgeführte Befragung der Absender ergibt, dass diese die Intranet-Weblösung gar nicht kannten: „Das hat man mir nicht gesagt, es gab auch kein Rundschreiben.”
Wichtigkeit der Kommunikation
Veränderungen leben davon, alle relevanten interessierten Parteien mitzunehmen. Der erste Schritt dazu ist die Kommunikation, wobei der Begriff hier weit zu fassen ist: Kommunikation im engeren Sinne umfasst den wechselseitigen Austausch von Botschaften. Hier wird mit Kommunikation im weiteren Sinne aber auch die reine Information angesprochen, mit der einseitig eine Botschaft an Empfänger übermittelt wird und der „Rückkanal” nicht explizit miteinbezogen wird.
Veränderungen leben davon, alle relevanten interessierten Parteien mitzunehmen. Der erste Schritt dazu ist die Kommunikation, wobei der Begriff hier weit zu fassen ist: Kommunikation im engeren Sinne umfasst den wechselseitigen Austausch von Botschaften. Hier wird mit Kommunikation im weiteren Sinne aber auch die reine Information angesprochen, mit der einseitig eine Botschaft an Empfänger übermittelt wird und der „Rückkanal” nicht explizit miteinbezogen wird.
Kommunikation in der ISO/IEC 27001
Die Norm ISO/IEC 27001 [1] betont ebenfalls die Wichtigkeit der Kommunikation. Im Normkapitel 7, „Unterstützung”, wird unter dem Punkt „7.4 Kommunikation” eine Bestimmung der Kommunikationsmaßnahmen zum Informationssicherheitsmanagementsystem als Soll-Vorschrift für die Ausgestaltung der Norm gesehen. Dort heißt es:
Die Norm ISO/IEC 27001 [1] betont ebenfalls die Wichtigkeit der Kommunikation. Im Normkapitel 7, „Unterstützung”, wird unter dem Punkt „7.4 Kommunikation” eine Bestimmung der Kommunikationsmaßnahmen zum Informationssicherheitsmanagementsystem als Soll-Vorschrift für die Ausgestaltung der Norm gesehen. Dort heißt es:
Forderung zur Bestimmung der Kommunikation
Die Organisation soll den Bedarf an internen und externen Kommunikationen im Zusammenhang mit dem Informationssicherheitsmanagementsystem bestimmen, einschließlich:
Die Organisation soll den Bedarf an internen und externen Kommunikationen im Zusammenhang mit dem Informationssicherheitsmanagementsystem bestimmen, einschließlich:
| a) | was kommuniziert werden soll; |
| b) | wann kommuniziert werden soll; |
| c) | mit wem kommuniziert werden soll; |
| d) | wie kommuniziert werden soll. |
Das, was die die ISO/IEC 27001 [1] hier fordert, entspricht inhaltlich einer Kommunikationsplanung, auch wenn dafür kein zusammenfassendes Wort definitorisch verwendet wird.
Definition Kommunikationsplan
Der Kommunikationsplan ist ein strukturiertes Dokument, das üblicherweise in tabellenartiger Darstellung angelegt wird. Er legt vorausschauend fest,
Der Kommunikationsplan ist ein strukturiertes Dokument, das üblicherweise in tabellenartiger Darstellung angelegt wird. Er legt vorausschauend fest,
| • | welche Inhalte, |
| • | zu welchen Zeitpunkten, |
| • | an interne oder externe Empfänger, |
| • | über welche Wege, |
| • | von wem |
zum Gegenstand von Kommunikationsvorgängen gemacht werden. Die „Empfänger” der Kommunikation sind die interessierten Parteien bzw. Stakeholder. Die „Wege” sind formal ausgedrückt die Kommunikationskanäle, die zur Verfügung stehen (z. B. Newsletter, Betriebsversammlung, Kundenzeitschrift etc.).
Ergänzend zu diesen Angaben können im Kommunikationsplan Informationen zu den Kommunikationsprozessen vermerkt werden. Dazu gehört, wer für einzelne Kommunikationskanäle („Wege”) die Verantwortung trägt, welche Medienformate (Text, Audio, Video) benötigt werden und welche zeitlichen Vorlauffristen einzuhalten sind (s. hierzu auch Kap. 05610, Abschnitt 13).
Kommunikationsplan als Matrix
Der Kommunikationsplan kombiniert eine Auswahl der oben genannten Informationen in einer Matrix. Dies ist zweidimensional durch Spalten und Zeilen sowie zusätzliche Angaben in einer Tabellenzelle – also der Schnittstelle von Spalten und Zeilen – gut handhabbar und auch noch intuitiv erfassbar.
Der Kommunikationsplan kombiniert eine Auswahl der oben genannten Informationen in einer Matrix. Dies ist zweidimensional durch Spalten und Zeilen sowie zusätzliche Angaben in einer Tabellenzelle – also der Schnittstelle von Spalten und Zeilen – gut handhabbar und auch noch intuitiv erfassbar.
Aufbau der Matrix: Varianten
Gebräuchliche Kombinationen sind:
Gebräuchliche Kombinationen sind:
| Variante 1 | Die Spalten stehen für Kommunikationskanäle, die Zeilen für die interessierten Parteien. In der Schnittstelle werden die Kommunikationszeitpunkte und ggf. Zuständigkeiten vermerkt. |
| Variante 2 | Die Spalten stehen für Zeitpunkte, die Zeilen für die Kommunikationskanäle und in den Tabellenzellen die interessierten Parteien. |
Die Wahl einer der Varianten erfolgt nach den Projektbesonderheiten: Hat man wenige wichtige interessierte Parteien, die sehr intensiv und persönlich kommunikativ betreut werden sollen, ergeben diese die Zeilen (Variante 1). Sind die Kommunikationskanäle für mehrere interessierte Parteien gleichermaßen einzusetzen und mehrfach angedacht (z. B. ein Newsletter), bietet sich Variante 2 an: Spalten sind die Zeitpunkte, Zeilen die Kanäle, Schnittstellen die Empfänger.
Tabelle 1: Kommunikationsplan als Matrix (Variante 1)
Newsletter | Pers. Präsentation | Pressemitteilung | ... | |
Geschäftsleitung | Quartalsweise | |||
Lenkungsausschuss | Monatlich | Bei Sitzung | ||
Mitarbeiter | Monatlich | |||
Externe Kunden | Projektabschluss |
Tabelle 2: Kommunikationsplan als Matrix (Variante 2)
02. Jan 2025 | 01. Feb 2025 | 01. Mar 2025 | ... | |
Newsletter | Mitarbeiter,Lenkungsausschuss | Mitarbeiter,Lenkungsausschuss | Mitarbeiter,Lenkungsausschuss | |
Pers. Präsentation | Lenkungsausschuss | Geschäftsleitung | ||
Pressemitteilung | Externe Kunden |
Anwendungsszenarien
Ein Kommunikationsplan wird unter anderem in folgenden Situationen erstellt:
Ein Kommunikationsplan wird unter anderem in folgenden Situationen erstellt:
| • | Erfüllung der Forderungen der ISO/IEC 27001, 7.4 [1]. |
| • | Vermarktung eines (IS/ISM-)Projektes und seiner geplanten Ergebnisse nach innen und/oder außen. |
| • | Projektbegleitendes Veränderungsmanagement (Change Management) zur Sicherung des Wohlwollens oder zur Verminderung von Widerständen bei Betroffenen. |
„Betroffene” im obigen Sinne sind interessierte Parteien, die auch als Stakeholder bezeichnet werden können.
