Das Wort Informationssicherheitsmanagementsystem (ISMS) besteht aus zwei verschiedenen Teilen:
- "Informationssicherheit" und
- "Managementsystem".
Wir kümmern uns hier zunächst einmal um den zweiten Teil - das Wort "Managementsystem".
Das Wort besteht auch wieder aus zwei verschiedenen Worten, nämlich
- "Management" und
- "System".
Auch hier schauen wir uns erstmal den ersten Teil an - also das Wort "Management".
Was ist Management? Die ISO 9000 definiert es als Tätigkeit, Vorgang oder Prozess zur Gestaltung, Lenkung oder Entwicklung eines zweckorientierten Systems.
Man könnte es natürlich auch einfacher sagen: Management ist, wenn wir etwas tun, um einen Zweck, ein Ziel zu erreichen. (Es könnte so einfach sein.)
Dann müssen wir uns jetzt noch um den zweiten Teil des Worts kümmern, also "System". Schauen wir doch mal:
Was ist ein System? Die ISO 9000 definiert es als Ansammlung von Elementen und deren Eigenschaften, die durch Wechselbeziehungen miteinander verbunden sind. Es ist gekennzeichnet durch einen Zweck (Funktion), seine Systemelemente und Wirkungsverknüpfungen und seine Systemintegrität.
Man könnte es natürlich auch einfacher sagen: Ein System ist etwas, das zusammengehört, bei dem mehrere Rädchen ineinander greifen, um einen Zweck, ein Ziel zu verfolgen. (Es könnte so einfach sein.)
Aus diesen beiden (eigentlich doch gar nicht so komplizierten) Begriffen lässt sich jetzt gut das zusammengesetzte Wort "Managementsystem" herleiten. Wir schauen uns auch das mal kurz an:
Was ist ein Managementsystem? Die ISO 27000 definiert es als System von Leitlinien, Verfahren, Anleitungen, Vorgehensweisen, Prozessen und den zugehörigen Ressourcen und Betriebsmitteln (Personal, Technik, Software, Dokumentation, ...), das zur Erreichung der Ziele einer Organisation erforderlich ist.
Man könnte es natürlich auch einfacher sagen: Ein Managementsystem benutze ich, wenn ich unter Zuhilfenahme von selbst gegebenen Vorgehensweisen meine Organisation auf ein bestimmtes Ziel zusteuere: Ich arbeite also nicht (ausschließlich) impulsiv und intuitiv, sondern nutze etablierte Vorgehensweisen, die mir helfen, weil sie sich bewährt haben.
Das letzte, was uns jetzt noch fehlt, ist das Wort "Informationssicherheit". Das ist jetzt ganz einfach: "Managementsystem" besagt ja, dass ein Ziel verfolgt wird. Allerdings nicht, welches. Mit einem Managementsystem kann ich alle Ziele verfolgen, die mir einfallen: Sicherheit am Arbeitsplatz (ISO 45001), Qualität meiner Produkte (ISO 9001), Umweltverträglichkeit und Nachhaltigkeit (ISO 14001), Energiemanagement (ISO 50001), guten Service (ISO 20000-1), Business Continuity (ISO 22301), sichere Medizinprodukte (ISO 13485), hochwertige Flugzeuge (ISO 9100) und natürlich vieles weitere mehr - einschließlich selbst gegebener Ziele aller Art.
Das ist das einzige, was jetzt noch dazukommt: Im vorliegenden Fall ist unser Ziel die Informationssicherheit, also die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
Was ist ein Informationssicherheitsmanagementsystem (ISMS)? Das ist ein Managementsystem (s.o.) zum Verfolgen des Ziels Informationssicherheit (s.o.).
Wir haben nach der Entscheidung, die ISO 9001-Zertifizierung mit externer Unterstützung zu machen, mit mehreren Beratern gesprochen. Uns war wichtig, dass wir jemanden finden, der zu uns passt. Wir entwickeln anspruchsvolle Apps für unsere Kunden und arbeiten dabei sehr agil, um schnell auf neue Anforderungen reagieren zu können. Das muss sich auch in unseren Prozessen abbilden und auch in den Tools, die wir für die Arbeit mit dem Managementsystem nutzen. Außerdem ist für uns wichtig, dass wir den Mehrwert einer Zertifizierung auch an unsere Kunden weitergeben können – sie also auch merklich etwas bringt, was die Qualität und Zuverlässigkeit unserer Arbeit angeht. Einen "Papiertiger" nur zur Normerfüllung wollten wir nicht.
Im Gespräch mit einfachISO war dann sehr schnell klar: Das passt. Sie sind nicht vom Berg gestiegen, um irgendeine Norm zu predigen, sondern sie wussten gleich: Sie muss sich in die Firma einfügen, im Alltag funktionieren und auch echte Vorteile für uns und unsere Kunden bringen.
An der Zusammenarbeit haben uns besonders die sehr produktiven gemeinsamen Arbeitsmeetings gefallen. Es ging immer sofort ins Eingemachte und alle sind mit klaren Aufgaben raus gegangen. Auch das Management hat dadurch schnell gemerkt, dass es vorwärts geht und es messbaren und klar kommunizierbaren Fortschritt gibt.
Ein großer Vorteil von einfachISO ist auch die sehr gute Erreichbarkeit, der kurze Draht. Dadurch ist das Projekt bei uns nie ins Stocken geraten, wenn eine Frage aufgekommen ist oder ein Projektleiter für seinen Bereich gesagt hat: "Das kann ich so aber nicht umsetzen", ging es immer superschnell, einen Call mit einfachISO zu verabreden oder einen Workshop aufzusetzen. Immer mit super Nachbereitung, bspw. Follow-Up Emails, mit denen wir dann das verabredete und den Stand des Projekts insgesamt intern leicht kommunizieren konnten.
Wir hatten das Projekt sehr sportlich kalkuliert und gedacht – schauen wir mal, ob das so hinkommt. Letztlich haben wir durch die gute Zusammenarbeit sogar unter Zeit und unter Budget im ersten Anlauf die Zertifizierung geschafft.
Ob wir einfachISO weiterempfehlen würden? Auf keinen Fall, da kommt unsere Konkurrenz womöglich auch so schnell zum Zertifikat! 😉 Nee, Spaß beiseite: auf jeden Fall! Wir haben den Folgeauftrag für die Begleitung der ISO 27001 Zertifizierung schon erteilt. Wir haben einfach festgestellt – wir haben einen Partner gefunden, bei dem es einfach vorangeht und mit dem wir auch unsere Ziele erreichen können.
Starten Sie heute noch
Ihr ISO 27001 Projekt!
Wir begleiten Sie kostengünstig online, wahlweise mit regelmäßigem persönlichem Live-Coaching.
Ihr Dozent im Online-Seminar
Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.
Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.
Joachim Reinke — ISO 27001 Lead Auditor
“