Ziel des Kurses

Der Kurs „einfachISO – Selbst zum ISO 27001 - Zertifikat“ soll Organisationen in die Lage versetzen, die Vorbereitung auf eine ISO 27001-Zertifizierung selbst – d.h. mit ausschließlich organisationseigenen Ressourcen – zu schaffen. Wichtig ist uns, dass Sie hinterher:

• verstanden haben, was die ISO 27001 ist und was Sie von Ihnen will: Diesen Aspekt betrachten wir im Kurs durchgängig anhand eines konkreten Beispiels. Der Kurs verzichtet zu Gunsten von Praxis bewusst auf eine umfangreiche theoretische Abhandlung der Struktur von Managementsystemen und ihrer spezifischen Ausprägung in der ISO 27001 im Besonderen. Er führt nur genau so viel Theorie ein, wie notwendig ist, um die jeweils erklärten Schritte selbst zu schaffen. Kurse zu theoretischem Wissen zur ISO 27001 gibt es genügend, wir machen Ihnen bei Bedarf gerne Vorschläge.
• ganz viel selbst erledigt haben: Uns ist wichtig, dass dieser Kurs für sie projektbegleitend ist. Er soll nicht lästige und langwierige Vorarbeit sein, an deren Ende dann noch einmal ein großer Haufen an echter Arbeit steckt, sondern es soll ein Leitfaden während ihres Projekts zur Zertifizierungsreife sein. Das spart Ihnen viel Zeit.

Was der Kurs nicht leisten kann

Der Kurs kann nicht sicherstellen, dass Sie am Ende der Durcharbeit einen Zertifizierungsauditor rufen können, der Ihnen dann unter Garantie ein ISO 27001-Zertifikat ausstellen wird. Sie werden in diesem Kurs ein eigenes Informationssicherheitsmanagementsystem für Ihre Organisation erarbeiten, aber ob das zu Ihnen und zu Ihrer Organisation passt, ob es für Ihr Business angemessen ist und ob es in Ihrer Organisation bei Ihren Mitarbeitern und Mitarbeiterinnen wirksam werden kann, liegt bei Ihnen.

Wie funktioniert dieser Kurs?

Dieser Kurs besteht aus 10 Teilen, deren Reihenfolge mit Bedacht so gewählt worden ist, d.h. die Inhalte bauen aufeinander auf. Teile, die viel Nacharbeit auf Ihrer Seite erfordern, sind relativ weit vorne im Kurs, damit diese Nacharbeit früh in Ihrem Projekt beginnen kann.

Wir empfehlen, dass Sie alle Teile gemeinsam mit Ihrem Projektteam durcharbeiten und die im jeweiligen Kursteil dargestellten Tätigkeiten dann im Nachgang in Ihrer Organisation durchführen. Wir haben in jedem Teil am Ende einige Fragen an Sie, die sich auf den gerade geschauten Kursteil beziehen. Sie können diese Fragen in Ihrem Projektteam durchgehen und nach jeder Frage das Video stoppen und sich gemeinsam überlegen, wie Sie die Frage für sich und Ihre Organisation beantworten können. Stoppen Sie dazu das Video einfach nach jeder Frage.

Wir stellen Ihnen in diesem Kurs vor, wie die Firma StadtSolutions GmbH eine Zertifizierungsreife nach ISO 27001 erreicht hat. Der Weg, den StadtSolutions gegangen ist und dem wir in diesem Kurs folgen werden, muss nicht Ihrer sein.

Wichtig ist – und wir werden darauf immer wieder eingehen:

1. Angemessenheit: Die Art und Weise, wie Sie Ihr Informationssicherheitsmanagementsystem aufstellen, muss für Sie, Ihre Organisation und Ihre Firmenkultur Wir werden im Kurs immer wieder darauf eingehen, wonach Sie schauen müssen, um herauszufinden, was genau in Ihrem Fall „angemessen“ ist.
2. Wirksamkeit: Wie auch immer Sie Informationssicherheit in Ihrer Organisation regeln: es muss dazu führen, dass die Informationssicherheit auch dann tatsächlich besser wird und dass Ihre Regelungen auch zur Anwendung kommen und wie beabsichtigt funktionieren. Das hat ganz viel damit zu tun, Kollegen und Kolleginnen ins Boot zu holen und zu überzeugen – und es gilt wie an vielen anderen Stellen umso mehr: die Treppe wird von oben gefegt. Sprich: eine Geschäftsführung, die mit gutem Beispiel vorangeht, ist Gold wert. Wenn Ihre Kollegen und Kolleginnen den Eindruck haben, dass „dieses Informationssicherheitsthema“ ja eigentlich gar nicht so richtig gewollt wird, werden Sie es sehr, sehr schwer haben, Ihr Projekt voranzubringen.
3. Wirtschaftlichkeit: Wir legen großen Wert darauf, dass wir immer wieder mit Ihnen gemeinsam durchgehen, was Sie tun können, damit Ihr Informationssicherheitsmanagementsystem wirtschaftlich unterwegs ist. Wir sind uns dessen bewusst, dass Informationssicherheit Zusatzarbeit ist, die nicht jedem Spaß macht. Daher wollen wir sie so gering wie möglich halten.

Auf diese drei Punkte schauen übrigens auch Zertifizierungsauditoren.

Hilfsmittel – was und wen brauche ich für diesen Kurs?

Mitstreiter und Mitstreiterinnen – Ihr Projektteam

Bitte machen Sie diesen Kurs nicht alleine. Unsere Erfahrung ist, dass man alleine nicht so einfach „dran bleibt“.

Des Weiteren werden Sie das ganze Zertifizierungsprojekt sowieso nicht alleine schaffen und auch ein Informationssicherheitsmanagementsystem können Sie später in keinem Fall als „One-man-show“ betreiben. Sie benötigen auch später Kolleginnen und Kollegen, die das mit Ihnen zusammen machen. Und das geht natürlich am besten, wenn Sie diese so früh wie möglich schon einbinden. Außerdem schafft das Zusammenhalt und der schadet in einem Projekt nie.

Am besten, Sie suchen sich schon früh ein Projektteam. Typischerweise besteht das Projektteam aus

• Projektleiter oder Projektleiterin (wenn Sie in agilen Kontexten arbeiten, passt hier auch ein Product Owner), am besten mit Erfahrung in Organisationsprojekten;
• Jeweils ein Kollege oder eine Kollegin aus den Fachbereichen bzw. Teams, die in Geschäftsprozessen arbeiten, die „informationssicher“ werden sollen (welche das sind, erarbeiten wir uns gemeinsam in Kurs Teil 2);
• ein Kollege oder eine Kollegin aus dem Bereich Personal (Human Ressources);
• Falls Sie einen internen Datenschutzbeauftragten haben, können Sie diesen auch gerne einbeziehen. Datenschutz und Informationssicherheit haben eine große Überschneidung.

Geschäftsführung

Vergessen Sie auch bitte nicht, möglichst früh schon die Geschäftsführung einzubeziehen. Ohne die Einbeziehung der Geschäftsführung wird Ihr Informationssicherheitsmanagement schnell zu einem reinen Papiertiger verkommen. Der Grund ist der, dass Sie für zusätzliche Arbeiten im Bereich Informationssicherheit Mitarbeiter und Mitarbeiterinnen „gewinnen“ müssen. Und das funktioniert nicht, wenn die Geschäftsführung unbewusst das Signal aussendet, dass das Thema nicht besonders wichtig ist.

Bitten Sie Ihre Geschäftsführung um konkrete Wünsche und Vorgaben bzgl. der ISO 27001-Zertifizierung. Die Antworten auf die folgenden Fragen geben Orientierung und können zu Anfang des Projekts erarbeitet und dann gemeinsam mit der Geschäftsführung festgelegt werden:

1. Wann möchten wir ISO 27001 zertifiziert sein?
2. Wie viele Ressourcen möchten und können wir in das Projekt stecken?
3. Welche Meilensteine möchten wir bis wann erreicht haben?
4. Steht Budget für die Buchung von Zertifizierungsauditoren und den Kauf von Literatur zur Verfügung?

Raum und Zeit

Erfahrungsgemäß hilft es, dass Sie sich im Projektteam eine „Routine“ geben. Planen Sie bspw. einen gemeinsamen Termin von 2 h Dauer jede Woche ein, in dem Sie

• gemeinsam den jeweils nächsten Teil des Kurses anschauen;
• danach darüber sprechen, um ein gemeinsames Verständnis über den Inhalt herzustellen;
• Dritte einbinden, die durch den Inhalt des Teils „ins Spiel gekommen sind“;
• Aufgaben verteilen, die jetzt in Angriff genommen werden sollten.

Wir empfehlen, diesen Termin wirklich fest und verbindlich zu etablieren und ihn ausfallen zu lassen, wenn ein Teilnehmer oder eine Teilnehmerin nicht kann. Ansonsten werden Teile des Projektteams schnell abgehängt und finden dann später keinen Anschluss mehr.

Es funktioniert meistens nicht so gut, den Termin gleichzeitig als „Arbeitsmeeting“ zu nutzen, um Aufgaben aus dem vorangegangenen Kursteil zu bearbeiten. Dazu reicht ein 2 h Treffen nicht aus. Sie werden Arbeitstreffen brauchen. Vereinbaren Sie diese separat zum Routine-Termin „Videokurs nächsten Teil schauen“.

Suchen Sie zum gemeinsamen Schauen des nächsten Teils des Kurses einen eigenen Raum auf, in dem Sie für die Dauer der 2 h ungestört sind.

Hilfsmittel

Für Ihr Projekt zur Zertifizierungsreife benötigen Sie sinnvollerweise einige Hilfsmittel:

1. Diesen Videokurs und das Begleitmaterial für jedes Projektteammitglied;
2. Als Software:
   • ein Textverarbeitungsprogramm (wie Microsoft Word o.ä.) oder auch gerne ein Wiki (wie Atlassian Confluence o.ä.);
   • ein Programm, mit dem Sie gut Tabellen bearbeiten können (wie Microsoft Excel o.ä., hier geht aber notfalls auch Atlassian Confluence);
   • eine gemeinsame Dateiablage (wie Microsoft Office 365, Sharepoint) oder auch wieder ein Wiki (wie Atlassian Confluence);
   • hilfreich, aber nicht zwingend erforderlich, ist natürlich ein Aufgabenmanagement-Tool (wie bspw. Atlassian JIRA oder Trello oder Asana), das Transparenz bringt, wer gerade was macht;
   • des Weiteren ist es an einigen Stellen sinnvoll, Dinge grafisch abzubilden: an der Stelle hilft ein Modellierungstool für Arbeitsabläufe, vorzugsweise in BPMN oder als UML Activity Diagram.
3. Als notwendige Literatur benötigen Sie zwingend die DIN EN ISO/IEC 27001:2017, die Sie bspw. online beim Beuth-Verlag kaufen können.
4. Wir empfehlen Ihnen darüber hinaus noch den Kauf der DIN EN ISO/IEC 27002:2017 und der ISO/IEC 27005:2018. Eine genaue Definition aller Begriffe aus der ISO 27xxx-Reihe finden Sie ferner in der ISO/IEC 27000:2018.

Ansatz für ein Zertifizierungsprojekt

Aus unserer Erfahrung können wir sagen, dass das wesentliche Erfolgskriterium für eine erfolgreiche Zertifizierung das Mindset auf dem Weg dorthin ist.

Wir gehen davon aus, dass Sie sich die ISO 27001 nicht freiwillig als Lieblingsprojekt ausgesucht haben. Aber wir möchten Sie bitten, sich für die Laufzeit Ihres Projekts zur Zertifizierung folgendes Mindset zu Eigen zu machen: „Wenn wir den Lastwagen schon nicht aufhalten können, dann setzen wir uns eben ans Steuer und lenken ihn in die richtige Richtung.“

Wir wissen, dass das nicht einfach ist, aber es ist möglich: bitte versuchen Sie, die ganze Thematik zu betrachten aus dem Blickwinkel „Wenn wir es schon nicht ändern können, dann möchten wir wenigstens etwas davon haben“.

Viele Zertifizierungsprojekte scheitern, weil das Projektteam einen zu großen Wert legt auf „Output“ – und einen zu geringen auf „Outcome“. Bitte behalten Sie während des gesamten Projekts immer im Hinterkopf: es geht nicht darum, die schönsten Regelungen und die bestaussehenden Schriftstücke und Diagramme zu verfassen: es geht darum, dass alles, was Sie tun, angemessen ist (zu Ihnen und Ihrer Organisation passt) und wirksam ist (das tut, was es soll).

Kurz und knapp gesagt: Auditoren ist eine funktionierende Regelung zur Informationssicherheit auf einem Bierdeckel lieber als eine nicht funktionierende in einem Hochglanzausdruck.

Und: Suchen Sie sich bitte frühzeitig einen Zertifizierungsauditoren. Typischerweise sind Auditoren Monate im Voraus ausgebucht und Sie erhalten möglicherweise erst einen Zertifizierungstermin in 9-12 Monaten.

Wir empfehlen außerdem, dass Sie versuchen, Ihren Zertifizierungsauditoren (bzw. den Lead-Auditoren) frühzeitig kennenzulernen (noch weit vor dem Audit), um herauszufinden, ob er zu Ihnen und Ihrer Firmenkultur passt. Wenn nicht, können Sie sich noch überlegen, ob Sie sich auf die Suche nach einem anderen machen.

Übliche Missverständnisse rund um die ISO 27001

Rund um die ISO 27001 ranken sich eine Menge an Mythen, die sinnvollerweise vor Beginn des Zertifizierungsprojekts angesprochen und ausgeräumt werden sollten. Bitte gehen Sie diese aktiv im Umfeld Ihres Projekts an:

„Die ISO 27001 sorgt dafür, dass mein Produkt sicher gegen Hacking ist.“

Das stimmt nicht ganz. Zwar gibt es in der ISO 27001 Regelungen für die Programmierung sicherer Software, allerdings gehen diese bei weitem nicht so weit wie einschlägige Sicherheitsnormen für IT-Produkte, bspw. die IEC 15408 („Common Criteria“). Die ISO 27001 ist eine Norm, die vornehmlich Anforderungen an Prozesse, Vorgehensweisen und Regelungen erhebt – wenn diese zu mehr Sicherheit gegen Hacking führen, ist das ein sicherlich großartig, aber nicht das Hauptziel der ISO 27001.

„Ein Informationssicherheitsmanagementsystem ist eine Spezialsoftware, die man kaufen kann und die dann nach einmaliger Installation dafür sorgt, dass eine Firma informationssicher ist.“

Stimmt nicht. Ein Informationssicherheitsmanagementsystem ist ein Satz von Regelungen und Übereinkünften, die verbindlich getroffen werden und die dafür sorgen sollen, dass die Zusammenarbeit so wird, dass mehr Informationssicherheit hergestellt werden kann.

„Gottseidank ist nach der ISO 27001-Zertifizierung der ganze Spuk vorbei!“

Stimmt nicht. Nach der Zertifizierung ist vor der Zertifizierung. ISO 27001 ist kein Thema, das sie einmal machen und danach für immer abhaken können. Sie etablieren ja bestimmte Art und Weisen der Zusammenarbeit, die Sie auch weiter aufrechterhalten müssen. Nach Ablauf jedes auf die Zertifizierung folgenden Jahres steht ein Überwachungsaudit (auch: Aufrechterhaltungsaudit) an. Spätestens nach Ablauf von drei Jahren seit der Zertifizierung erfolgt ein vollständiges Rezertifzierungsaudit.

„Informationssicherheit ist Datenschutz, nur mit einem anderen Namen.“

Stimmt nicht. Datenschutz ist ein Aspekt von Informationssicherheit (und kommt daher sogar in der ISO 27001 vor). Allerdings bezieht sich Datenschutz (nach DSGVO und BDSG neu) nur und ausschließlich auf den Schutz personenbezogener Daten, während Informationssicherheit nach ISO 27001 viel, viel weiter gefasst wird und sich auf beliebige schützenswerte Informationen eine Organisation bezieht. Das kann weit über Datenschutz hinausgehen: Sie können Datenschutz über ein Informationssicherheitsmanagementsystem abbilden – aber Sie können Informationssicherheit in aller Regel nicht über ein Datenschutzmanagementsystem abbilden.

„So ein Informationssicherheitsmanagementsystem kann man doch einfach aus dem Internet runterladen, ausdrucken, in die Ecke stellen und dann ist man fertig.“

Wird nicht funktionieren. Spätestens wenn die Zertifizierungsauditoren kommen, müssen Sie erklären, was Sie gemacht haben und „zum Leben gebracht“ haben, um die Informationssicherheit bei Ihnen zu fördern. Zertifizierungsauditoren riechen in diesen Situationen den Braten zehn Meilen gegen den Wind und erkennen Potemkin’sche Dörfer im Schlaf.

„Unser Berater hat gesagt, er würde das ganz anders aufziehen als dieser Kurs. Was stimmt denn nun?“

Beides. Die ISO 27001 ist weitgehend „dunkel und unbestimmt“ – weil sie für alle möglichen Branchen, Kulturen, Vorgehensweisen, Organisationsarten und Menschen passen muss. Wir bieten Ihnen hier einen praktischen, zügigen Ansatz, der nachweislich funktioniert. Aber natürlich gibt es auch andere Ansätze.

„ISO 27001 ist einfach bloß IT-Sicherheit“

Das stimmt nur zur Hälfte. Denn der ISO 27001 geht es nur um Informationen und deren Sicherheit. Ob diese Informationen nun auf Papier oder auf einer Festplatte gespeichert sind oder in Steinplatten gemeißelt in einem Tresor liegen, ist der ISO 27001 in erster Linie völlig egal. Bitte denken Sie daher auch an schützenswerte „analoge“ Informationen.

„Na gut, dann schauen wir uns gemeinsam diese zehn Videos an und danach wissen wir alles.“

So einfach ist es leider nicht. Dieser Kurs ist nicht konzipiert als reine Wissensvermittlung. In jedem einzelnen Teil des Kurses geht es darum, dass Sie in Ihrer Organisation Dinge organisieren, Treffen in die Wege leiten, Dokumente schreiben, Absprachen treffen müssen und vieles mehr. Das kann Ihnen leider niemand abnehmen.

„Wenn ein Auditor mir im Zertifizierungsaudit sagt ‚Das müssen Sie so und so machen‘, dann muss ich das auch genau so und nicht anders machen.“

Stimmt nicht. Ein Zertifizierungsauditor kann Ihnen vorschlagen, wie aus seiner langjährigen Erfahrung heraus bestimmte Dinge sinnvollerweise geregelt werden können, er kann jedoch nicht verlangen, dass Sie das genau so regeln wie er das vorgeschlagen hat. Wenn aus Ihrer Sicht ein – durchaus sehr deutlich klingender – Vorschlag eines Zertifizierungsauditors für Sie nicht passt, dann müssen Sie den auch nicht umsetzen. Wichtig ist, dass Sie zu jedem Zeitpunkt verargumentieren können, dass der Vorschlag für Ihre Organisation nicht angemessen und/oder nicht wirkungsvoll ist. Wenn Ihre Argumentation in dieser Hinsicht nachvollziehbar ist, wird sich kein Zertifizierungsauditor dagegen verschließen.

(Dasselbe gilt übrigens für Aussagen von Beratern und selbstverständlich auch für Hinweise in diesen Kurs hier.)