Ein agiles ISO 27001-Projekt: kann das funktionieren?

Wenn Sie sich entschieden haben, mit Volldampf Richtung ISO 27001 loszustarten, stellt sich die Frage: wie muss man so etwas aufsetzen? Vielleicht als ein agiles ISO 27001-Projekt: kann das funktionieren? Mehr im folgenden Artikel!

Moment - wieso überhaupt "agil"?

Agile Vorgehensweisen eigenen sich überlicherweise dann besonders gut, wenn man das Ziel noch gar nicht so genau kennt. Wie kann das hier funktionieren? Immerhin ist das Ziel ("Zertifizierung") ja genau bekannt. Wo bleibt da die Unsicherheit, für die agile Vorgehensweisen so super funktionieren?

Die Antwort ist: Die Unsicherheit besteht im Faktor Zeit!

Wenn Sie den Zertifizierungstermin vereinbart haben (siehe dazu auch unseren  Artikel hier), läuft die Zeit. Jetzt gilt es, dass Ihr Projektteam zielstrebig am Projekt arbeitet.

Da Ihr Projektteam allerdings noch nie ein ISO 27001-Zertifizierungsprojekt gemacht hat, ist es natürlich völlige Augenwischerei, jetzt erst einmal einen genauen Projektplan aufzusetzen. Wie wollen Sie denn abschätzen, wie lange Sie für das Thema "Risikomanagement" benötigen? Sie wissen ja überhaupt noch nicht, was Sie da tun müssen.

UNSER TIPP: Sparen Sie sich die Zeit, hier trügerische Genauigkeit zu schaffen, die Ihnen suggeriert, dass Sie wissen, was Sie in 9 Monaten um 16 Uhr 37 tun werden.

Agiles ISO 27001-Projekt? Aber wie aufsetzen?

Wenn Sie Ihr Projekt zur ISO 27001-Zertifizierung aufsetzen, schlagen wir Ihnen das folgende Vorgehen vor:

Schreiben Sie alles, was Sie so im Laufe des Projekts werden tun müssen, in Ihr Projekt-Backlog. Das sorgt dafür, dass Sie nichts vergessen.

Ihr Projekt-Backlog besteht aus den folgenden Dingen:

1. Verstehen aller Anforderungen der ISO 27001: Jeder Abschnitt, der eine Nummer trägt, wird zu einem eigenen Backlog-Item. 
2. Umsetzen: Die ISO 27001 fordert sie ja auf, eine Reihe an Regelungen zu treffen. Sie benötigen Backlog-Items für
   • die Informationssicherheitsleitlinie;
   • das Risikomanagement;
   • die einzelnen Regelungen aus Annex A;
   • interne Audits;
   • den Kompetenzaufbau;
   • dokumentierte Information;
   • das Management-Review;
   • Leistungsmessung;
   • den CAPA-Prozess ("Corrective and Preventive Action").
3. Schulen: alles, was Sie sich ausgedacht haben, müssen Menschen ja verstehen. Kalkulieren Sie also bitte ein, dass Sie es noch jemandem beibringen müssen. Auch dafür bitte Backlog-Items anlegen.
4. Anwenden: Jeden dieser Prozesse müssen Sie mindestens mal grob anwenden, damit Sie wissen, ob er auch klappt. Praxis ist King! Darauf achten Zertifizierungsauditoren. Daher brauchen Sie für jeden der obigen Punkte noch ein Backlog-Item, bei dem sie die entsprechend ausgedachte Regelung mal ausführen.
5. Auditieren: Im Zertifizierungsaudit müssen Sie zeigen, dass sie sich bei allen Regelungen mal selbstkritisch über die Schulter geschaut haben. Und geprüft haben, dass jede Regelung auch das trifft, was die ISO 27001 möchte.

Einige der Punkte benötigen Sie mehrfach als Backlog-Items, wenn Sie mehrere Abteilungen im Anwendungsbereich Ihrer Zertifizierung haben. Die müssen entsprechend "geclont" werden.

Ab jetzt können Sie - ganz wie üblich - in Sprints auf Ihr Ziel "Zertifizierung" zuarbeiten

Mehrmals iterieren - und dabei immer besser werden

Aber was ist daran jetzt agil? Hier kommt die Auflösung:

Ein Zertifizierungsauditor findet es gut, wenn Sie alle Themenbereiche rudimentär geregelt haben. Und nicht besonders gut, wenn Sie in zwei bis drei Themen perfekt sind - und den Rest überhaupt noch nicht betrachtet haben.

Ein agiles ISO 27001-Projekt: Kann das funktionieren?

Aus unserer Erfahrung funktioniert es großartig! Wenn Sie noch Fragen haben, schreiben Sie sie uns einfach unten rechts in den Chat oder vereinbaren Sie hier einen unverbindlichen und kostenfreien Gesprächstermin mit uns.