ISO 27001: Kein Job für Einzelkämpfer

ISO 27001: Kein Job für Einzelkämpfer - was soll das bedeuten?

In Erstgesprächen mit Unternehmen, die Richtung ISO 27001-Zertifizierung gehen wollen, hören wir von der Geschäftsführung schon mal:

"Das lassen wir einfach mal den Herrn Müller machen, der ist hier eh der IT-Mensch, der soll uns halt nicht stören. Wir müssen Geld verdienen."

oder

ISO 27001 umzusetzen, ist schon schlimm genug. Eigentlich wollen wir das überhaupt nicht. Aber der Kunde besteht drauf. Wir lassen das einfach unsere Datenschutzbeauftragte Frau Yalcın nebenbei machen. 

Leider klappt das auf diese Weise nicht. Man kann die Uhr danach stellen.

Warum ISO 27001 nichts für Einzelkämpfer ist

Die ISO 27001 möchte an ganz vielen Stellen, dass Sie Ihre Zusammenarbeit regeln, so dass die Informationssicherheit insgesamt besser wird. Beispielsweise:

1. Wie sollen wir reagieren, wenn wir ein Hacking unserer Software bemerken?
2. Wie finden wir diejenigen Stellen, die riskant sind? Die, wo wichtige Dinge schief gehen können?
3. In welchen Büroräumen sind die wirklich heiklen Informationen und wie sichern wir diese Räume?

Das sind alles Fragen, die Sie nicht alleine im stillen Kämmerchen beantworten können.

Zeit gibt es nicht nebenbei

Und da sind wir am wunden Punkt angekommen: Um diese ganzen Themen gemeinsam zu klären, benötigen Sie Zeit.

Und Zeit haben Sie nur dann, wenn das Projekt "ISO 27001" bei Ihnen wichtig genug ist. Oder kurz: Wenn die Geschäftsführung es wirklich will.

Ansonsten - das kennen wir alle - bleibt das Thema so lange liegen, bis nichts anderes mehr auf dem Schreibtisch liegt. Und wir wissen alle, wann das passiert:

NIE.

Für die Geschäftsführung bedeutet das also: Räumen Sie dem Projekt Zeit ein. Kommunizieren Sie, dass Ihnen das Thema wirklich wichtig ist. Und lassen Sie diesen Worten Taten folgen:

• Erkundigen Sie sich ab und nach dem Fortschritt!
• Reden Sie mit dem Projektteam!
• Halten Sie ihm den Rücken frei!

Schirmherrschaft

Die ISO 27001 ist ja schlau - und enthält daher gerade in diesem Punkt ganz klar und deutlich Anforderungen an die Geschäftsführung:

Zum einen in Kapitel 5.1: Da steht, dass die Geschäftsführung über das Thema die Schirmherrschaft übernehmen muss. Sie muss deutlich machen, dass ihr das Thema Informationssicherheit wichtig ist!

Und zum anderen Kapitel 7.1: Hier heißt es wörtlich: "Die Geschäftsführung muss die Ressourcen für den Aufbau [...] eines Informationssicherheitsmanagements bereitstellen."

Es lohnt sich, die Geschäftsführung auf diese beiden Kapitel hinzuweisen.

Auditoren sehen Einzelkämpfer kritisch

Spätestens, wenn im Zertifizierungsaudit nur der einsame Einzelkämpfer Rede und Antwort stehen kann und der Rest der Anwesenden durch erschreckende Ahnungslosigkeit glänzt, haben Sie ein großes Problem:

Auditoren merken so etwas auf zehn Meilen gegen den Wind und dann kommen schnell die folgenden Fragen:

"Wie häufig hat sich denn die Geschäftsführung über den Fortschritt des Projekts informiert? Gibt's da Emails? Oder eine Präsentation? Kann ich mal sehen?"

oder (wenn immer nur Frau Yalcın antwortet):

"Vielleicht kann jemand anders von Ihnen mir mal vorstellen, wie Sie dieses oder jenes geregelt haben?"

oder im halbstündigen Eröffnungsgespräch mit der Geschäftsführung:

"Wieso möchten Sie überhaupt das ISO 27001-zertifiziert werden? Was bringt Ihnen das? Wie haben Sie sich da persönlich eingebracht auf dem Weg?"

Spätestens dann stehen Sie nicht besonders gut da. Lassen Sie es nicht so weit kommen!

Sie merken schon - ISO 27001: Kein Job für Einzelkämpfer! Wenn Sie sich aber wie einer fühlen, dann können wir gerne mal telefonieren - wir haben bestimmt ein paar Ideen, wie man das ändern kann. Suchen Sie sich doch auf dieser Seite einfach einen Termin heraus.