ISO 27001 - ein Projekt? Wenn Sie auf dem Weg zu einer ISO 27001 Zertifizierung sind (oder auch zu einer Zertifizierung nach einer anderen Norm wie bspw. der ISO 9001, 14001, 45001 o.ä.), dann ist es enorm hilfreich, dieses Vorhaben wie ein Projekt aufzusetzen, zu durchdenken und zu planen.
Was macht ein Projekt aus?
Ein Projekt ist (einmal ganz grob gesagt)
Eine Menge von von abgestimmten und gesteuerten Tätigkeiten, mit denen unter Berücksichtigung von Vorgaben (wie etwa Zeit, Geld, Mitarbeiter) ein festgelegtes, einmaliges Ziel in einer bestimmten Qualität erreicht werden soll.
Sie sehen schon: das passt ganz hervorragend auf das Vorhaben "ISO 27001-Zertifizierung": Sie müssen Tätigkeiten abstimmen, Sie haben eine gewisse Menge an Zeit, es gibt ein Projektteam, das hilft und Sie haben ein bestimmtes Budget zur Verfügung, das besser nicht überschritten werden sollte.
Welche Sicherheit ein Projekt bringt
In ersten Gesprächen mit Unternehmen, die Richtung ISO 27001-Zertifizierung aufbrechen wollen, stellen wir immer die folgenden Fragen:
- Wann soll die ISO 27001-Zertifizierung fertig sein?
- Gibt es ein bestimmtes Budget, das dafür zur Verfügung steht?
- Gibt es Mitarbeiter, die bei dem Vorhaben unterstützen sollen und mit wieviel Anteil ihrer Arbeitszeit dürfen sie das tun?
- Wer ist Projektleiter oder Projektleiterin?
Häufig gibt es hierzu noch keinerlei Überlegungen - und das ist problematisch.
Wieso es ohne Projekt nicht geht
Denn:
- Ohne Wunsch-Fertigstellungstermin hat Ihr Vorhaben "ISO 27001-Zertfizierung" keine Priorität gegenüber anderen Projekten, die wiederum eine Deadline haben. Die Folge: am Projekt wird nur gearbeitet, wenn es wirklich gar nichts anderes zu tun gibt. Also nie. Über eine typische Dauer eines ISO 27001-Projekts haben wir hier schon einen Artikel.
- Ohne Budget gibt, ist unklar, mit welchen Mitteln die Kosten für das Vorhaben bestritten werden sollen. Kosten in welcher Höhe sind ok für das Zertifizierungsaudit? Für externe Unterstützung? Oder für die Anschaffung von sicheren IT-Systemen? Hier haben wir etwas zum Projektbudget geschrieben.
- Wenn nicht klar ist, welche Mitarbeiter mit wieviel Anteil ihrer Arbeitszeit am ISO 27001-Vorhaben mitarbeiten - dann werden sich alle diejenigen Aufgaben suchen, die sie gerne machen und in denen sie gut sind. Und die ISO 27001-Aufgaben bleiben halt liegen. Hier haben wir schon etwas zum Projektteam geschrieben.
- Und schließlich: Wenn niemand darauf achtet, dass alle Fäden zusammengehalten werden, dass Aufgaben verbindlich auf Mitarbeiter verteilt werden, dass Hindernisse aus dem Weg geräumt werden und dass der Stand im Thema Richtung Geschäftsführung berichtet werden kann, dann machen viele Leute viele Dinge, die nicht abgestimmt sind. Und niemand weiß, wie weit das ganze Thema eigentlich bereits ist und was noch getan werden muss.
Download Projektcheckliste
Laden Sie sich hier unsere kostenlose Checkliste zum Projekt-Setup für Ihr ISO 27001-Projekt herunter.
Zum Thema "Wie organisiere ich ein Projekt am besten?" gibt es übrigens auch eine ISO-Norm, die hilft: die ISO 21500. Umfangreiches Material und auch Unterstützung beim Aufsetzen eines guten Projektmanagements (unabhängig davon, ob es um Informationssicherheit geht) gibt es beispielsweise auf der Seite des Anbieters ISO21500.de. Vielleicht schauen Sie mal rein.
Unser Tipp
Sorgen Sie dafür, dass Ihr ISO 27001-Zertifizierungsvorhaben sauber wie ein Projekt organisiert ist - mit allem, was dazu gehört: Deadline, Team, Projektleiter und Budget.
ISO 27001 - ein Projekt? Interesse geweckt?
Wenn Sie Interesse daran haben, mit uns zu besprechen, wie Sie Ihr ISO 27001-Projekt aufsetzen, dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!