ISO 27001: Awareness? New Age? Bewusstsein? Was ist denn das jetzt für ein überspannter Quatsch?
Wir wollen das in diesem Blog-Artikel mal beleuchten.
Awareness? Was soll die Esoterik?
Die ISO 27001 (und auch ihre Mutter, die ISO 9001 und ihre Schwestern, die ISO 14001, 45001, 50001, 55001, 20000-1 und viele weitere) fordert in Kapitel 7.3 eine "Awareness" - oder in der deutschen Version "Bewusstsein".
Dieses Thema wird häufig als etwas esoterischer Schnickschnack abgetan.
Völlig zu Unrecht - Bewusstsein (Awareness) ist ein wichtiges Thema. Denn: Wenn die Mitarbeiter der Organisation nicht wissen (oder besser: sich nicht dessen bewusst sind), dass das Thema Informationssicherheit eine durchgängige Rolle spielt, dann werden sie sich darum auch nicht kümmern.
Der Sturm und der Bambus
Wichtige Themen sind in einem Unternehmen häufig wie kleine Stürme. Sie kommen und gehen. Und Mitarbeiter verhalten sich gerne wie der sprichwörtliche Bambus:
Um die ganzen Stürme zu "überleben", biegt sich der Bambus flexibel nach hinten und wenn der Sturm vorüber ist, biegt er sich wieder zurück und alles ist wie zuvor.
Was Ihre Aufgabe beim Aufbau eine ISMS (eines "Informationssicherheitsmanagementsystems") nach ISO 27001 ist:
Sie müssen dafür sorgen, dass das Thema "Informationssicherheit" nicht als "Einmalthema" - als "kleiner Sturm im Wasserglas" begriffen wird, sondern als kontinuierliche Anstrengung, die ab sofort durchgängig in ihrer Organisation unternommen werden muss.
Informationssicherheit ist kein Sprint - sondern ein Dauerlauf
Informationssicherheit geht nicht in einer kurzen "Hauruck-Aktion" - sondern ist etwas Durchgängiges. Und das muss sich im Bewusstsein eines jeden Mitarbeiters verankern - da ist sie: die Awareness.
ISO 27001: Awareness - aber wie kriegt man die hin?
Wenn Sie vor der Aufgabe stehen, das Thema Informationssicherheit als "dauerhaft wichtig" ins Unternehmen zu kriegen, dann überlegen Sie bitte:
- Behandeln Sie das Thema derzeit "auf kleiner Flamme im Elfenbeinturm"? Dann sollten Sie schnell etwas unternehmen - denn es wird ansonsten als Nischenthema und "Da kümmert sich der IT Admin drum" verstanden - und das ist so ziemlich das Gegenteil von "Awareness".
- Wie kommunizieren Sie andere durchgängig wichtige Themen? Gibt es da schon etabliere funktionierende Kommunikationsformen? Die wöchentlichen Stundenzettel? Die Projektabrechnung? Das Thema Datenschutz? Arbeitssicherheit? Hängen Sie sich an!
- Wie kommuniziert die Geschäftsführung, was ihr wichtig ist? Denken Sie immer dran: Die Treppe wird von oben gefegt! Jeder hat grundsätzlich mehr Arbeit auf dem Schreibtisch als er oder sie bearbeiten kann. Und wenn keine Priorisierung explizit vorgegeben wird, dann schauen Mitarbeiter einfach nach oben (Richtung Geschäftsführung) und interpretieren die Signale, die von dort ausgehen. Gibt es da ein Signal für "Informationssicherheit ist uns wichtig"? Nein? Dann wird es auch schwierig mit der "Awareness".
Unser Tipp
Überlegen Sie sich im Rahmen einer ISO 27001-Zertifizierung recht früh: Wie bekommen Sie Ihre Mitarbeiter auf Ihre Seite? Wie können Sie vermitteln, dass das Thema ab sofort eine gewisse Rolle in Ihrem Unternehmen (oder: zumindest im Anwendungsbereich des ISMS) spielt?
Auf welche Weise kommunizieren Sie ansonsten wichtige Themen? Wie erreichen Sie Akzeptanz für neue Themen?
Haben wir Ihr Interesse geweckt? Wollen Sie mal gemeinsam mit uns überlegen, wie Sie "Awareness" hinbekommen ? Dann vereinbaren Sie gerne einen unverbindlichen Termin mit uns. Oder schreiben uns etwas in den Chat (hier unten rechts auf der Seite)!
