22. November 2020

ISO 27001 in agilen Unternehmen: so klappt das!

Von Joachim Reinke

November 22, 2020

Agil, ISO 27001

Was sind überhaupt agile Unternehmen?

ISO 27001 in agilen Unternehmen - ist das kein Widerspruch in sich? Agile Unternehmen sind (meist kleinere) Organisationen, die sich bewusst so aufstellen, dass sie sich schnell ändernden Marktbedingungen anpassen können.

Das bedeutet, diese Unternehmen

  • legen Wert darauf, sich leichtgewichtige Rahmen und Regelwerke zu geben - alles andere würde sie zu schwerfällig machen;
  • haben daher kein Problem damit, interne Regelungen zügig anzupassen, um auf der Höhe zu bleiben;
  • achten darauf, für alles eine externe Referenz zu haben - also ihr Tun zu jeder Zeit aus Markterfordernissen abzuleiten.

Warum sollte ISO 27001 in agilen Unternehmen schwierig sein?

ISO 27001 in agilen Unternehmen ist vor allen Dingen kulturell schwierig: Schließlich kommt die Norm ISO 27001 (und ihre Schwestern wie die ISO 9001, ISO 20000-1, ISO 13485, ISO 45001 etc.) historisch aus einem Kontext, in dem sie v.a. für große (und wenig agile) Unternehmen relevant war.

Diese Unternehmen hatten meist einen gut arrivierten Wertschöpungsprozess, den sie gar nicht zu ändern brauchten.

Daher schiebt die ISO 27001 in "agilen Kreisen" Misstrauen vor sich her wie eine Bugwelle.

"Wenn wir uns jetzt nach so einer Norm zertifizieren, wird alles bürokratisch!

Wir müssten dauernd nach minutiösen Regeln arbeiten, die uns nur behindern!

Wir werden Siemens!"

Diese und ähnliche Vorbehalte existieren - und das kommt nicht von ungefähr.

Schließlich wird die Art und Weise, auf die ISO 27001-Compliance umgesetzt wird, wesentlich von den beiden folgenden Faktoren bestimmt:

  1. Berater, die einem Unternehmen zur ISO 27001-Zertifizierung helfen: Diese kennen i.d.R. einen gut funktionierenden Weg, auf dem man zum Zertifikat kommt. Dieser Weg passt aber oft nicht auf agile Unternehmen. (Sondern vielleicht eher auf Siemens.)
  2. Zertifizierungsauditoren: Auditoren sind mit der ISO 27001 in agilen Unternehmen - also insb. mit kreativen Umsetzungen - nicht vertraut und wünschen sich in Audits und Vorgesprächen eine ihnen geläufige Implementierung.

Der Freiraum ist da - man muss ihn nur nutzen!

Die ISO 27001 schreibt an keiner Stelle vor, wie genau bestimmte Dinge in Unternehmen umzusetzen sind. Wenn Sie also in der ISO 27001 davon lesen, dass

  1. Sie einen Prozess zur Behandlung von Informationssicherheitsvorfällen installieren sollen,
  2. eine Regelung für Interne Audits haben sollen,
  3. einen Business Continuity Plan vorhalten sollen oder
  4. regelmäßig ein Management Review durchführen müssen,

dann bedeutet das nicht, dass Sie jetzt Aktenschränke kaufen müssen und ab jetzt alles abheften!

Aber wie sonst?

Sie können das völlig kreativ anders handhaben, z.B.

  1. indem Sie einen JIRA-Ticket-Typen namens "Security Incident" anlegen: Und dann im nächsten All Hands darauf hinweisen, dass alles, was eine Sicherheitslücke darstellen könnte, in so einem Ticket bearbeitet wird;
  2. indem Sie eine kollegiale Fallbesprechung zwischen verschiedenen Ihrer Projekte aufsetzen oder Ihre Retrospektiven sorgfältig durchführen (was einem internen Audit schon ziemlich nahe kommt - und dennoch zu Ihnen passt);
  3. eine Confluence-Seite haben, auf der Sie schreiben, in welchen Notfällen Sie Ihren Kunden noch (eingeschränkt) zur Verfügung stehen möchten und wann Sie mal geübt haben, in Ihren "Notfall-Mode" und wieder heraus zu kommen;
  4. dadurch, dass Sie einen regelmäßigen Termin haben, indem sich die Geschäftsführung zusammen mit allen, die teilnehmen möchten, die oberen 3 Punkte anschaut. Um danach gemeinsam zu überlegen, wo man in puncto Informationssicherheit als nächstes besser werden möchte.

Unser Tipp

Wichtig ist, dass Ihre individuelle Auslegung der ISO 27001 zu Ihnen passt - genau deswegen ist diese Norm so allgemein geschrieben.

Nutzen Sie alles, was Sie bei sich schon an Vereinbarungen haben - das macht es Ihnen einfacher.

ISO 27001 in agilen Unternehmen ist : Das ist kein Widerspruch, sondern wie so vieles nur eine Frage der Kreativität. Aber darin sind agile Unternehmen ja eigentlich ziemlich gut.

Also: Keine Sorge - nur Mut und ran! Es macht sogar Spaß!

Wir haben Ihnen hier und hier noch ein paar Informationen zur Dauer und zu den Kosten einer ISO 27001-Zertifizierung aufgeschrieben.

Das im obigen Video angesprochene Video zu den Informationssicherheitszielen finden Sie hier.

Wenn Sie als agiles Unternehmen gerade vor einer ISO 27001-Zertifizierung stehen, haben Sie bestimmt noch ein paar Fragen. Die können Sie gerne in einem unverbindlichen persönlichen Gespräch loswerden. Oder Sie schreiben etwas gleich hier rechts unten in den Chat. Wir freuen uns.

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}