21. April 2021

ISO 27001 – Management-Review oder Selbstorganisation?

Von Joachim Reinke

April 21, 2021

Agil, ISO 27001, Management-Review, Selbstorganisation

ISO 27001 - Management-Review oder Selbstorganisation: Ist das eigentlich ein Widerspruch?

Das ganze Thema Informationssicherheit (IT-Sicherheit, Cybersicherheit) nach ISO 27001 kommt mit einer gewissen kulturellen "Bugwelle" daher: gemacht für große schwergewichtige Unternehmen - bremsend für kleine agile Unternehmen, die viel auf Selbstorganisation setzen.

Dabei ist die ISO 27001 durchaus völlig ohne den kulturellen Ballast großer Unternehmen zu haben, in denen sie ursprünglich angewendet wurde.

Beispiel Management-Review

Gerade beim Thema "Management-Review" gibt es vielfach das Vorurteil, dass es hier nur darum geht, dass die Geschäftsführung tief und "mikro-kontrollierend" in den Arbeitsalltag eingreift. - Zu Unrecht!

Das "Management-Review" ist nur ein Werkzeug (unter vielen), das nach eigenem Ermessen im Unternehmen umgesetzt werden kann. Auch in Unternehmen mit einem hohen Grad an Selbstorganisation!

Worum geht es beim Management-Review?

Die ISO 27001 verlangt, dass es eine Instanz gibt (das "Management"), deren Aufgabe es ist, sich regelmäßig einige wichtige Entwicklungen im Unternehmen anzuschauen. Dies sind beispielsweise:

  • Welche Sicherheitsvorfälle gab es und wie haben wir darauf reagiert? War das genug oder müssen wir nachsteuern?
  • Welchen Risiken sind wir ausgesetzt? Was tun wir dagegen? Bis wann?
  • Welche Erwartungen haben Partner, Kunden und unsere eigenen Mitarbeiter an das Thema Informationssicherheit, um zufrieden zu sein? Hat sich da was geändert? Müssen wir nachsteuern?
  • Haben wir in letzter Zeit mal selbst überprüft, ob wir wirklich so arbeiten wie wir es uns gemeinsam vorgenommen haben? Was kam dabei heraus? Lügen wir uns in die Tasche? Sollten wir unsere Zusammenarbeit ändern, damit wir besser werden im Thema Informationssicherheit?
  • Welche Ziele (im Bereich Informationssicherheit) haben wir uns gesetzt? Kommen wir ihnen näher? Oder passen sie gar nicht mehr zu uns?

Wie man schon sieht: alles ganz sinnvolle Fragestellungen, die sich lohnen, regelmäßig im Blick zu behalten.

Dazu kommt: die ISO 27001 stellt keinerlei Anforderungen an das "Wie". Bedeutet: Ob die Geschäftsführung hier mit von der Partie ist oder diese Aufgabe jemandem anders (Einzelperson oder Gremium) überantwortet, steht Ihnen in der Umsetzung völlig frei.

So frei wie Ihnen übrigens auch die Umsetzung aller anderen Anforderungen der ISO 27001 steht: Die ISO 27001 bestimmt immer nur das "Was", aber nie das "Wie".

Widerspruch: ISO 27001 vs. Selbstorganisation?

Sind Anforderungen wie die des "Management-Review" jetzt das Gift für selbstorgansierte Unternehmen?

Aus unserer Sicht absolut nicht: denn die Kreativität - aber auch die Verantwortung - festzulegen, wie das alles umzusetzen ist, liegt ganz bei Ihnen.

Unser Tipp

Wenn Sie als Unternehmen mit einem hohen Grad an Selbstorganisation Richtung ISO 27001 Zertifizierung starten, lassen Sie sich von der "Kultur", die die ISO 27001 "umweht", nicht täuschen. Suchen Sie sich Unterstützung von jemandem, der Erfahrung darin hat, die ISO 27001 passend zu Ihrem Unternehmen zu machen. Jemanden, der nicht darauf aus ist, Ihr Unternehmen der klassisch hierarchischen Interpretation der ISO 27001 zu "unterordnen".

Dann wird die Umsetzung von Informationssicherheit zum einen zu einem spannenden Projekt für Sie - und Sie haben nachher noch etwas davon!

ISO 27001 - Management-Review oder Selbstorganisation? Das ist kein Widerspruch! Möchten Sie Ihr selbstorganisiertes Unternehmen Richtung ISO 27001 führen? Dann vereinbaren Sie doch einen kostenlosen Gesprächstermin. Oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}