ISO 27001 - Management-Review oder Selbstorganisation: Ist das eigentlich ein Widerspruch?
Das ganze Thema Informationssicherheit (IT-Sicherheit, Cybersicherheit) nach ISO 27001 kommt mit einer gewissen kulturellen "Bugwelle" daher: gemacht für große schwergewichtige Unternehmen - bremsend für kleine agile Unternehmen, die viel auf Selbstorganisation setzen.
Dabei ist die ISO 27001 durchaus völlig ohne den kulturellen Ballast großer Unternehmen zu haben, in denen sie ursprünglich angewendet wurde.
Beispiel Management-Review
Gerade beim Thema "Management-Review" gibt es vielfach das Vorurteil, dass es hier nur darum geht, dass die Geschäftsführung tief und "mikro-kontrollierend" in den Arbeitsalltag eingreift. - Zu Unrecht!
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDas "Management-Review" ist nur ein Werkzeug (unter vielen), das nach eigenem Ermessen im Unternehmen umgesetzt werden kann. Auch in Unternehmen mit einem hohen Grad an Selbstorganisation!
Worum geht es beim Management-Review?
Die ISO 27001 verlangt, dass es eine Instanz gibt (das "Management"), deren Aufgabe es ist, sich regelmäßig einige wichtige Entwicklungen im Unternehmen anzuschauen. Dies sind beispielsweise:
- Welche Sicherheitsvorfälle gab es und wie haben wir darauf reagiert? War das genug oder müssen wir nachsteuern?
- Welchen Risiken sind wir ausgesetzt? Was tun wir dagegen? Bis wann?
- Welche Erwartungen haben Partner, Kunden und unsere eigenen Mitarbeiter an das Thema Informationssicherheit, um zufrieden zu sein? Hat sich da was geändert? Müssen wir nachsteuern?
- Haben wir in letzter Zeit mal selbst überprüft, ob wir wirklich so arbeiten wie wir es uns gemeinsam vorgenommen haben? Was kam dabei heraus? Lügen wir uns in die Tasche? Sollten wir unsere Zusammenarbeit ändern, damit wir besser werden im Thema Informationssicherheit?
- Welche Ziele (im Bereich Informationssicherheit) haben wir uns gesetzt? Kommen wir ihnen näher? Oder passen sie gar nicht mehr zu uns?
Wie man schon sieht: alles ganz sinnvolle Fragestellungen, die sich lohnen, regelmäßig im Blick zu behalten.
Dazu kommt: die ISO 27001 stellt keinerlei Anforderungen an das "Wie". Bedeutet: Ob die Geschäftsführung hier mit von der Partie ist oder diese Aufgabe jemandem anders (Einzelperson oder Gremium) überantwortet, steht Ihnen in der Umsetzung völlig frei.
So frei wie Ihnen übrigens auch die Umsetzung aller anderen Anforderungen der ISO 27001 steht: Die ISO 27001 bestimmt immer nur das "Was", aber nie das "Wie".
Widerspruch: ISO 27001 vs. Selbstorganisation?
Sind Anforderungen wie die des "Management-Review" jetzt das Gift für selbstorgansierte Unternehmen?
Aus unserer Sicht absolut nicht: denn die Kreativität - aber auch die Verantwortung - festzulegen, wie das alles umzusetzen ist, liegt ganz bei Ihnen.
Unser Tipp
Wenn Sie als Unternehmen mit einem hohen Grad an Selbstorganisation Richtung ISO 27001 Zertifizierung starten, lassen Sie sich von der "Kultur", die die ISO 27001 "umweht", nicht täuschen. Suchen Sie sich Unterstützung von jemandem, der Erfahrung darin hat, die ISO 27001 passend zu Ihrem Unternehmen zu machen. Jemanden, der nicht darauf aus ist, Ihr Unternehmen der klassisch hierarchischen Interpretation der ISO 27001 zu "unterordnen".
Dann wird die Umsetzung von Informationssicherheit zum einen zu einem spannenden Projekt für Sie - und Sie haben nachher noch etwas davon!
ISO 27001 - Management-Review oder Selbstorganisation? Das ist kein Widerspruch! Möchten Sie Ihr selbstorganisiertes Unternehmen Richtung ISO 27001 führen? Dann vereinbaren Sie doch einen kostenlosen Gesprächstermin. Oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).