20. Februar 2020

Corona und ISO 27001: Wie die Norm bei Business Continuity hilft

Von Joachim Reinke

Februar 20, 2020

corona, ISO 27001, virus

Corona und ISO 27001 - da gibt es überraschende Zusammenhänge. Die Zahl der am Corona-Virus Infizierten steigt und immer mehr Organisationen überlegen sich, wie sie ihren Geschäftsbetrieb aufrecht erhalten.

Interessanterweise bietet die ISO 27001 in Kapitel A.17 ("Business Continuity") genau dafür einige gute Ideen.

Zwar beschreibt die Norm nicht, wo Sie welche Desinfektionsspender aufbauen sollen. Aber sie bietet ein bestechend einfaches Rezept zur Bestimmung von möglichen Sicherheitsmaßnahmen.

Effektive Sicherheitsmaßnahmen ableiten nach der ISO 27001

Die ISO 27001 bietet die folgende Abfolge von Überlegungen, über die sich Sicherheitsmaßnahmen herleiten lassen:

1. Welche Dienstleistungen oder Produkte bietet Ihre Organisation der Welt eigentlich an?

Ob Sie Web-Produkte anbieten, für andere Unternehmen Software programmieren, Datenbanken hosten, Gärten gestalten oder Autos lackieren: Die ISO 27001 möchte, dass Sie sich einen Moment Zeit nehmen, sich das genau zu überlegen.

2. Wer ist an der Verfügbarkeit Ihrer Dienstleistung oder Ihrer Produkte interessiert?

Das sind sicherlich in erster Linie Ihre Kunden und Interessenten. Aber denken Sie bitte auch an

  • Ihre Mitarbeiter (die bei gestoppter Betriebstätigkeit keine Gehälter mehr bekommen) oder vielleicht auch an
  • Investoren oder Gläubiger (die einen Return on Invest sehen möchten).

Nehmen Sie sich kurz Zeit, die Personenkreise aufzuschreiben, die Sie gefunden haben.

3. Welche Ausnahmesituationen (außer natürlich der Corona-Virus Pandemie) wirken gegen die Verfügbarkeit ihrer Produkte und Dienstleistungen?

Natürlich ist es schwierig, aus dem Stand auf einem weißen Blatt Papier alle zu finden. Deswegen bieten die beiden kleinen Schwestern, die ISO 27002 und 27005 hier schon eine Reihe an gängigen widrigen Situationen:

  • Erdbeben,
  • Feuer,
  • Überschwemmung,
  • Streik und
  • Pandemie u.a.

Corona (COVID-19) fällt sicherlich unter letzteres. Aber Sie haben jetzt einen Überblick, welche widrigen Situationen Sie sich auch mal bei Gelegenheit anschauen könnten.

4. Welche Verfügbarkeit erwarten denn Ihre Kunden bei Ihren Dienstleistungen in einer Corona-Pandemie?

Wenn Sie Software für andere programmieren, dann sind Ihre Kunden möglicherweise kulant, wenn Sie den Auslieferungstermin aufgrund einer Corona-bedingten Krankheitswelle nicht halten können. Die betrifft Ihre Kunden vielleicht ebenso und es wäre eh niemand da, der Ihre Software abnehmen könnte.

Wenn Sie aber Hosting für Krankenhaus-IT machen, sieht das schon ganz anders aus. Überlegen Sie sich nicht nur, ob Ihre Dienstleistungen und Produkte in einer Ausnahmesituationen überhaupt verfügbar sein sollten.

Bedenken Sie darüber hinaus, ob Einschränkungen daran (verminderte Qualität, geringere Termintreue, höhere Kosten, o.ä.) akzeptabel und/oder vertraglich zulässig sind.

5. Welchen Assets sind nötig, um Ihre Dienstleistungen und Produkte “auf die Straße zu bringen”?

ISO 27005, die schlaue kleine Schwester der ISO 27001 hat hier bereits vorausgedacht. Sie bietet bereits einige typische Kandidaten: neben Gebäuden, Netzwerken, Software, Hardware, Organisationsstrukturen eben auch Menschen:

Und damit Sie es sich nicht zu schwer machen müssen, greifen Sie zu einem Trick: Überlegen Sie sich nicht für jeden Einzeln, was er oder sie für die Verfügbarkeit Ihrer Dienstleistung und Ihres Produkts beiträgt. Sondern gruppieren Sie:

  • Lassen Sie uns annehmen, Sie haben zwei Admins, ohne die wirklich gar nichts läuft und von denen immer einer vor Ort sein muss.
  • Dann haben Sie noch 5 weitere Mitarbeiter, die sich gegenseitig abwechseln und vor Ort sind.
  • Und noch10 weitere, die sowieso meist remote arbeiten.

6. Wie schützen Sie jetzt Ihre Mitarbeiter, Ihre Dienstleistung und Ihre Produkte?

Sie wissen jetzt genau, welche Ihrer Mitarbeiter zu welchem Grad für die Aufrechterhaltung Ihrer Dienstleistung bei Pandemie wichtig sind.

Jetzt können Sie sich gezielt der Frage widmen, wie Sie diese effektiv schützen können:

  • Sie haben festgestellt, dass die Admins auch im Pandemiefall nicht ausfallen dürfen. Also legen Sie ihnen nahe, intensivere Hygienemaßnahmen zu betreiben. Außerdem schirmen Sie sie von den übrigen Mitarbeitern ab - und auch gegenseitig, damit ein angesteckter Admin nicht den zweiten ansteckt.
  • Sie haben ferner erkannt, dass sich 5 weitere Mitarbeiter gegenseitig abwechseln. Sie schicken diese umschichtig in Urlaub (und belassen es bei den derzeitigen Hygienemaßnahmen).
  • Und für die sowieso meist remote arbeitenden weiteren 10 Mitarbeiter? Da buchen Sie sich eine Fallback-DSL-Leitung bei einem zweiten Provider und schicken Sie sie nach Hause.

Corona und ISO 27001 - was ist passiert?

Sie haben sich gerade eben auf Basis von Fakten, durch punktgenaues, risikobasiertes Denken und einen kühlen Kopf passgenaue Maßnahmen hergeleitet: Das schützt Ihre Dienstleistungen, Produkte und Mitarbeiter wesentlich effektiver als blindes und leicht panisches Aufstellen von Desinfektionssprays im Eingangsbereich. 

Ach ja, und Sie haben sich ganz nebenbei ein professionelles Business Continuity Management aufgebaut. Das können Sie jetzt schrittweise auch auf andere widrige Situationen anwenden.

Corona und ISO 27001 passen zusammen: denn die ISO 27001 hat für Fälle wie eine Pandemie ein paar gute Gedanken mit an Bord.

Haben Sie Fragen? Vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns! Oder Sie schreiben und Ihre Frage direkt hier rechts unten in den Chat.

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}