ISO 27001 in agilen Unternehmen: so klappt das!

Was sind überhaupt agile Unternehmen?

ISO 27001 in agilen Unternehmen - ist das kein Widerspruch in sich? Agile Unternehmen sind (meist kleinere) Organisationen, die sich bewusst so aufstellen, dass sie sich schnell ändernden Marktbedingungen anpassen können.

Das bedeutet, diese Unternehmen

• legen Wert darauf, sich leichtgewichtige Rahmen und Regelwerke zu geben - alles andere würde sie zu schwerfällig machen;
• haben daher kein Problem damit, interne Regelungen zügig anzupassen, um auf der Höhe zu bleiben;
• achten darauf, für alles eine externe Referenz zu haben - also ihr Tun zu jeder Zeit aus Markterfordernissen abzuleiten.

Warum sollte ISO 27001 in agilen Unternehmen schwierig sein?

ISO 27001 in agilen Unternehmen ist vor allen Dingen kulturell schwierig: Schließlich kommt die Norm ISO 27001 (und ihre Schwestern wie die ISO 9001, ISO 20000-1, ISO 13485, ISO 45001 etc.) historisch aus einem Kontext, in dem sie v.a. für große (und wenig agile) Unternehmen relevant war.

Diese Unternehmen hatten meist einen gut arrivierten Wertschöpungsprozess, den sie gar nicht zu ändern brauchten.

Daher schiebt die ISO 27001 in "agilen Kreisen" Misstrauen vor sich her wie eine Bugwelle.

"Wenn wir uns jetzt nach so einer Norm zertifizieren, wird alles bürokratisch!

Wir müssten dauernd nach minutiösen Regeln arbeiten, die uns nur behindern!

Wir werden Siemens!"

Diese und ähnliche Vorbehalte existieren - und das kommt nicht von ungefähr.

Schließlich wird die Art und Weise, auf die ISO 27001-Compliance umgesetzt wird, wesentlich von den beiden folgenden Faktoren bestimmt:

1. Berater, die einem Unternehmen zur ISO 27001-Zertifizierung helfen: Diese kennen i.d.R. einen gut funktionierenden Weg, auf dem man zum Zertifikat kommt. Dieser Weg passt aber oft nicht auf agile Unternehmen. (Sondern vielleicht eher auf Siemens.)
2. Zertifizierungsauditoren: Auditoren sind mit der ISO 27001 in agilen Unternehmen - also insb. mit kreativen Umsetzungen - nicht vertraut und wünschen sich in Audits und Vorgesprächen eine ihnen geläufige Implementierung.

Der Freiraum ist da - man muss ihn nur nutzen!

Die ISO 27001 schreibt an keiner Stelle vor, wie genau bestimmte Dinge in Unternehmen umzusetzen sind. Wenn Sie also in der ISO 27001 davon lesen, dass

1. Sie einen Prozess zur Behandlung von Informationssicherheitsvorfällen installieren sollen,
2. eine Regelung für Interne Audits haben sollen,
3. einen Business Continuity Plan vorhalten sollen oder
4. regelmäßig ein Management Review durchführen müssen,

dann bedeutet das nicht, dass Sie jetzt Aktenschränke kaufen müssen und ab jetzt alles abheften!

Aber wie sonst?

Sie können das völlig kreativ anders handhaben, z.B.

1. indem Sie einen JIRA-Ticket-Typen namens "Security Incident" anlegen: Und dann im nächsten All Hands darauf hinweisen, dass alles, was eine Sicherheitslücke darstellen könnte, in so einem Ticket bearbeitet wird;
2. indem Sie eine kollegiale Fallbesprechung zwischen verschiedenen Ihrer Projekte aufsetzen oder Ihre Retrospektiven sorgfältig durchführen (was einem internen Audit schon ziemlich nahe kommt - und dennoch zu Ihnen passt);
3. eine Confluence-Seite haben, auf der Sie schreiben, in welchen Notfällen Sie Ihren Kunden noch (eingeschränkt) zur Verfügung stehen möchten und wann Sie mal geübt haben, in Ihren "Notfall-Mode" und wieder heraus zu kommen;
4. dadurch, dass Sie einen regelmäßigen Termin haben, indem sich die Geschäftsführung zusammen mit allen, die teilnehmen möchten, die oberen 3 Punkte anschaut. Um danach gemeinsam zu überlegen, wo man in puncto Informationssicherheit als nächstes besser werden möchte.