Suchen

12 Tipps für eine schlanke ISMS-Einführung

ISO 27001 mit wenig Aufwand umsetzen

Seite: 3/3

Firma zum Thema

7. Augenmaß bei der Komplexität der Sicherheitsrichtlinie: Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis haben sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie sind, desto geringer ist die Bereitschaft, sich daran zu orientieren.

8. Keine standardisierte Policy aus anderen Quellen nutzen: Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht.

9. Ausufernde Dokumentationen vermeiden: Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen.

10. Für ein breites ISMS-Verständnis sorgen: Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören.

11. Geschäftsleitung in die Schulungen einbeziehen: Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen.

12. Frühzeitig für eine KVP-Kultur sorgen: Zu den Grundgedanken der Norm gehört, dass die Sicherheitsmaßnahmen in Kontinuierlichen Verbesserungsprozessen (KVP) weiterentwickelt werden. Dies verlangt über entsprechende organisatorische Vorgehensweisen hinaus ein Selbstverständnis, das nicht von allein entsteht, sondern über Schulungen entwickelt werden muss.

Über den Autor

Robert Hellwig ist IT-Security-Analyst beim Beratungshaus Mikado AG.

(ID:42704891)