Mitstreiter und Mitstreiterinnen – Ihr Projektteam
Bitte machen Sie diesen Kurs nicht alleine. Unsere Erfahrung ist, dass man alleine nicht so einfach „dran bleibt“.
Des Weiteren werden Sie das ganze Zertifizierungsprojekt sowieso nicht alleine schaffen und auch ein Informationssicherheitsmanagementsystem können Sie später in keinem Fall als „One-man-show“ betreiben. Sie benötigen auch später Kolleginnen und Kollegen, die das mit Ihnen zusammen machen. Und das geht natürlich am besten, wenn Sie diese so früh wie möglich schon einbinden. Außerdem schafft das Zusammenhalt und der schadet in einem Projekt nie.
Am besten, Sie suchen sich schon früh ein Projektteam. Typischerweise besteht das Projektteam aus
- Projektleiter oder Projektleiterin (wenn Sie in agilen Kontexten arbeiten, passt hier auch ein Product Owner), am besten mit Erfahrung in Organisationsprojekten;
- Jeweils ein Kollege oder eine Kollegin aus den Fachbereichen bzw. Teams, die in Geschäftsprozessen arbeiten, die „informationssicher“ werden sollen (welche das sind, erarbeiten wir uns gemeinsam in Kurs Teil 2);
- ein Kollege oder eine Kollegin aus dem Bereich Personal (Human Ressources);
- Falls Sie einen internen Datenschutzbeauftragten haben, können Sie diesen auch gerne einbeziehen. Datenschutz und Informationssicherheit haben eine große Überschneidung.
Geschäftsführung
Vergessen Sie auch bitte nicht, möglichst früh schon die Geschäftsführung einzubeziehen. Ohne die Einbeziehung der Geschäftsführung wird Ihr Informationssicherheitsmanagement schnell zu einem reinen Papiertiger verkommen. Der Grund ist der, dass Sie für zusätzliche Arbeiten im Bereich Informationssicherheit Mitarbeiter und Mitarbeiterinnen „gewinnen“ müssen. Und das funktioniert nicht, wenn die Geschäftsführung unbewusst das Signal aussendet, dass das Thema nicht besonders wichtig ist.
Bitten Sie Ihre Geschäftsführung um konkrete Wünsche und Vorgaben bzgl. der ISO 27001-Zertifizierung. Die Antworten auf die folgenden Fragen geben Orientierung und können zu Anfang des Projekts erarbeitet und dann gemeinsam mit der Geschäftsführung festgelegt werden:
- Wann möchten wir ISO 27001 zertifiziert sein?
- Wie viele Ressourcen möchten und können wir in das Projekt stecken?
- Welche Meilensteine möchten wir bis wann erreicht haben?
- Steht Budget für die Buchung von Zertifizierungsauditoren und den Kauf von Literatur zur Verfügung?
Raum und Zeit
Erfahrungsgemäß hilft es, dass Sie sich im Projektteam eine „Routine“ geben. Planen Sie bspw. einen gemeinsamen Termin von 2 h Dauer jede Woche ein, in dem Sie
- gemeinsam den jeweils nächsten Teil des Kurses anschauen;
- danach darüber sprechen, um ein gemeinsames Verständnis über den Inhalt herzustellen;
- Dritte einbinden, die durch den Inhalt des Teils „ins Spiel gekommen sind“;
- Aufgaben verteilen, die jetzt in Angriff genommen werden sollten.
Wir empfehlen, diesen Termin wirklich fest und verbindlich zu etablieren und ihn ausfallen zu lassen, wenn ein Teilnehmer oder eine Teilnehmerin nicht kann. Ansonsten werden Teile des Projektteams schnell abgehängt und finden dann später keinen Anschluss mehr.
Es funktioniert meistens nicht so gut, den Termin gleichzeitig als „Arbeitsmeeting“ zu nutzen, um Aufgaben aus dem vorangegangenen Kursteil zu bearbeiten. Dazu reicht ein 2 h Treffen nicht aus. Sie werden Arbeitstreffen brauchen. Vereinbaren Sie diese separat zum Routine-Termin „Videokurs nächsten Teil schauen“.
Suchen Sie zum gemeinsamen Schauen des nächsten Teils des Kurses einen eigenen Raum auf, in dem Sie für die Dauer der 2 h ungestört sind.
Hilfsmittel
Für Ihr Projekt zur Zertifizierungsreife benötigen Sie sinnvollerweise einige Hilfsmittel:
- Diesen Videokurs und das Begleitmaterial für jedes Projektteammitglied;
- Als Software:
- ein Textverarbeitungsprogramm (wie Microsoft Word o.ä.) oder auch gerne ein Wiki (wie Atlassian Confluence o.ä.);
- ein Programm, mit dem Sie gut Tabellen bearbeiten können (wie Microsoft Excel o.ä., hier geht aber notfalls auch Atlassian Confluence);
- eine gemeinsame Dateiablage (wie Microsoft Office 365, Sharepoint) oder auch wieder ein Wiki (wie Atlassian Confluence);
- hilfreich, aber nicht zwingend erforderlich, ist natürlich ein Aufgabenmanagement-Tool (wie bspw. Atlassian JIRA oder Trello oder Asana), das Transparenz bringt, wer gerade was macht;
- des Weiteren ist es an einigen Stellen sinnvoll, Dinge grafisch abzubilden: an der Stelle hilft ein Modellierungstool für Arbeitsabläufe, vorzugsweise in BPMN oder als UML Activity Diagram.
- Als notwendige Literatur benötigen Sie zwingend die Norm ISO 27001 (derzeit entweder in der internationalen Version 2013 - das entspricht der deutschen Version DIN ISO 2017 - oder der neuen internationalen Version 2022 - das ist die deutsche Version DIN ISO 27001:2024), die Sie bspw. online beim Beuth-Verlag kaufen können.
- Wir empfehlen Ihnen darüber hinaus noch den Kauf der ISO 27002 und der ISO 27005. Eine genaue Definition aller Begriffe aus der ISO 27xxx-Reihe finden Sie ferner in der ISO 27000. Und ganz zum Schluss: alle Begriffe, die Sie in der ISO 27000 nicht finden, finden Sie in der Norm ISO 9000 (die quasi als "Mutter" der ISO 2700x-Reihe betrachtet werden kann).
Der Beuth Verlag hat nun die deutschen Übersetzungen der 2023-Version zum Verkauf.
Vielen Dank. Ist geändert! Wir produzieren die Videos dieses Kapitels (und einiger anderer Kapitel) übrigens gerade komplett neu, gehen in den nächsten Tagen online! Stay tuned 🙂