23. November 2020

Ein agiles ISO 27001-Projekt: kann das funktionieren?

Von Joachim Reinke

November 23, 2020

Agil, ISO 27001, Projekt, Zertifizierung

Wenn Sie sich entschieden haben, mit Volldampf Richtung ISO 27001 loszustarten, stellt sich die Frage: wie muss man so etwas aufsetzen? Vielleicht als ein agiles ISO 27001-Projekt: kann das funktionieren? Mehr im folgenden Artikel!

Moment - wieso überhaupt "agil"?

Agile Vorgehensweisen eigenen sich überlicherweise dann besonders gut, wenn man das Ziel noch gar nicht so genau kennt. Wie kann das hier funktionieren? Immerhin ist das Ziel ("Zertifizierung") ja genau bekannt. Wo bleibt da die Unsicherheit, für die agile Vorgehensweisen so super funktionieren?

Die Antwort ist: Die Unsicherheit besteht im Faktor Zeit!

Wenn Sie den Zertifizierungstermin vereinbart haben (siehe dazu auch unseren  Artikel hier), läuft die Zeit. Jetzt gilt es, dass Ihr Projektteam zielstrebig am Projekt arbeitet.

Da Ihr Projektteam allerdings noch nie ein ISO 27001-Zertifizierungsprojekt gemacht hat, ist es natürlich völlige Augenwischerei, jetzt erst einmal einen genauen Projektplan aufzusetzen. Wie wollen Sie denn abschätzen, wie lange Sie für das Thema "Risikomanagement" benötigen? Sie wissen ja überhaupt noch nicht, was Sie da tun müssen.

UNSER TIPP: Sparen Sie sich die Zeit, hier trügerische Genauigkeit zu schaffen, die Ihnen suggeriert, dass Sie wissen, was Sie in 9 Monaten um 16 Uhr 37 tun werden.

Agiles ISO 27001-Projekt? Aber wie aufsetzen?

Wenn Sie Ihr Projekt zur ISO 27001-Zertifizierung aufsetzen, schlagen wir Ihnen das folgende Vorgehen vor:

Schreiben Sie alles, was Sie so im Laufe des Projekts werden tun müssen, in Ihr Projekt-Backlog. Das sorgt dafür, dass Sie nichts vergessen.

Ihr Projekt-Backlog besteht aus den folgenden Dingen:

  1. Verstehen aller Anforderungen der ISO 27001: Jeder Abschnitt, der eine Nummer trägt, wird zu einem eigenen Backlog-Item. 
  2. Umsetzen: Die ISO 27001 fordert sie ja auf, eine Reihe an Regelungen zu treffen. Sie benötigen Backlog-Items für
    • die Informationssicherheitsleitlinie;
    • das Risikomanagement;
    • die einzelnen Regelungen aus Annex A;
    • interne Audits;
    • den Kompetenzaufbau;
    • dokumentierte Information;
    • das Management-Review;
    • Leistungsmessung;
    • den CAPA-Prozess ("Corrective and Preventive Action").
  3. Schulen: alles, was Sie sich ausgedacht haben, müssen Menschen ja verstehen. Kalkulieren Sie also bitte ein, dass Sie es noch jemandem beibringen müssen. Auch dafür bitte Backlog-Items anlegen.
  4. Anwenden: Jeden dieser Prozesse müssen Sie mindestens mal grob anwenden, damit Sie wissen, ob er auch klappt. Praxis ist King! Darauf achten Zertifizierungsauditoren. Daher brauchen Sie für jeden der obigen Punkte noch ein Backlog-Item, bei dem sie die entsprechend ausgedachte Regelung mal ausführen.
  5. Auditieren: Im Zertifizierungsaudit müssen Sie zeigen, dass sie sich bei allen Regelungen mal selbstkritisch über die Schulter geschaut haben. Und geprüft haben, dass jede Regelung auch das trifft, was die ISO 27001 möchte.

Einige der Punkte benötigen Sie mehrfach als Backlog-Items, wenn Sie mehrere Abteilungen im Anwendungsbereich Ihrer Zertifizierung haben. Die müssen entsprechend "geclont" werden.

Ab jetzt können Sie - ganz wie üblich - in Sprints auf Ihr Ziel "Zertifizierung" zuarbeiten

Mehrmals iterieren - und dabei immer besser werden

Aber was ist daran jetzt agil? Hier kommt die Auflösung:

Ein Zertifizierungsauditor findet es gut, wenn Sie alle Themenbereiche rudimentär geregelt haben. Und nicht besonders gut, wenn Sie in zwei bis drei Themen perfekt sind - und den Rest überhaupt noch nicht betrachtet haben.

Unser Tipp

Iterieren Sie das gesamte Projekt einfach mehrfach durch!

Gehen Sie beispielsweise in einem ersten Überflug alle Anforderungen durch und machen Sie sich ein grobes Bild, was da auf Sie zukommt.

Überlegen Sie sich im zweiten Durchgang, wie Sie das regeln möchten (und machen Sie sich ein paar Notizen dazu).

Im dritten Durchgang werden Sie konkret und formulieren für alles einen Draft.

Verproben Sie im vierten Durchgang die Drafts der Regelungen, indem Sie sie anwenden. Verbessern Sie, wo nötig.

Auf diese Weise stellen Sie sicher, dass Sie am Ende der Zeit maximal viel erreicht haben - und zwar gleich verteilt.

Ein agiles ISO 27001-Projekt: Kann das funktionieren?

Aus unserer Erfahrung funktioniert es großartig! Wenn Sie noch Fragen haben, schreiben Sie sie uns einfach unten rechts in den Chat oder vereinbaren Sie hier einen unverbindlichen und kostenfreien Gesprächstermin mit uns.


Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.


Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}