ISO 27001 – womit anfangen: Das hier ist der erste Schritt
ISO 27001 - womit anfangen: Das hier ist der erste Schritt, den Sie gehen sollten, um sich das Leben einfacher zu machen!
Wenn Sie vor einem ISO 27001-Zertifizierungsprojekt stehen, fragen Sie sich sicherlich früher oder später:
Womit fange ich da jetzt am besten an?
Keine Sorge! Die Situation ist völlig normal.
Mit Hilfe der folgenden vier Fragen steigen Sie optimal in Ihr Projekt ein. Und haben ganz en passant noch das wichtigste Dokument überhaupt fertiggestellt - die Informationssicherheitsleitlinie.
1. In welchem Umfeld bewegt sich Ihre Organisation?
Hier geht es darum, dass Sie sich fokussieren: auf welchem Markt befindet sich Ihre Organisation? Welche Dienstleistungen oder Produkte bieten Sie schwerpunktmäßig an - und welche nicht? Was ist Ihr "Mission/Vision Statement"? Welche Themen sind Ihnen wichtig? Welche nicht? Was wird besser dadurch, dass es Sie gibt? Wofür stehen Sie? (Die ISO 27001 bezeichnet dies recht sperrig als "Politik".)
Nehmen Sie sich 5 min Zeit, das einfach kurz aufzuschreiben.
Die ISO 27001 möchte, dass Sie genau auf diese Fragen fokussieren und den "Kontext der Organisation" herauskristallisieren.
BEISPIEL: "Wir, die Firma X, stehen für hochqualitative Datenverarbeitung im Bereich Y. Wir setzen alles daran, hier Marktführer zu werden. Um das werden zu können, sind die Themen A, B und C für uns immens wichtig."
2. Wer interessiert sich für Sie?
Eine tolle Firma alleine ist ja nicht viel wert. Daher ist die nächste Frage: wer stellt welche Wünsche an Sie. Und zwar: mit Schwerpunkt auf Informationssicherheit.
Überlegen Sie sich kurz:
- Welche Kunden(kreise) möchten, dass für welche Informationen Vertraulichkeit sichergestellt ist?
- Wie steht es mit der Unverfälschtheit von bei Ihnen gespeicherten Informationen? Wer hat da welche Wünsche an Sie?
- Und zum Schluss: Welche Dienstleistungen und Informationen müssen Sie hochverfügbar anbieten, um alle zufrieden zu stellen, die Wünsche an Sie haben?
Aber Kunden sind nicht alles: Ohne Mitarbeiter könnten Sie das alles ja nicht bewerkstelligen. Welche Wünsche haben die?
Und vielleicht sind Sie ja in einem regulierten Umfeld unterwegs und müssen gesetzliche oder behördliche Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit erfüllen? Wer hat da Anforderungen an Sie?
Sie sehen schon: hier geht es um alle Stakeholder, die etwas in puncto Informationssicherheit von Ihnen wollen.
BEISPIEL: "Unsere Kunden aus Kundensegment X lassen Ihre Informationen bei uns verarbeiten. Dabei ist ihnen Unverfälschbarkeit (Integrität) immens wichtig."
3. Welche Ziele geben Sie sich?
Gottseidank schreibt die ISO 27001 Ihnen nicht vor, dass Sie auf alle ihre Stakeholder hören müssen. Nicht jeder, der bestimmte Wünsche an Informationssicherheit an Sie und Ihre Organisation hat, muss sie erfüllt bekommen.
Im dritten Schritt geht es darum, dass Sie sich überlegen, welche Wünsche nach Vertraulichkeit, Integrität und Verfügbarkeit der bei Ihnen verarbeiteten Informationen Sie sich zu eigen machen - und welche eben auch nicht.
Erstere formulieren Sie verbindlich als Ihre Informationssicherheitsziele.
BEISPIEL: "Wir streben an, dass wir die durch unseren Service X zur Verfügung gestellten Informationen 24/7 an 365 Tagen im Jahr anbieten können. Wir erlauben uns allerhöchstens 2 Stunden Ausfall pro Jahr."
4. Welche Bereiche Ihrer Organisation sind denn überhaupt betroffen?
Die letzte Frage, die Sie sich jetzt nur noch zu stellen brauchen, ist diese:
Welche Teile Ihrer Organisation können überhaupt zu Ihren selbst gegebenen Zielen beitragen? Diese Bereiche sind Ihr sogenannter Scope order auch Anwendungsbereich.
Sie können den Anwendungsbereich auswählen nach Geschäftsfeldern, Abteilungen, Betriebsstätten oder Geschäftsprozessen - ganz wie Sie wollen.
Diesen Anwendungsbereich schreiben Sie auf - er erscheint auch später auf Ihrem ISO 27001-Zertifikat.
BEISPIEL: "Unser Anwendungsbereich ist die Verarbeitung und Bereitstellung von Informationen für den Zweck X."
Unser Tipp
ISO 27001 - womit anfangen: Das hier ist der erste Schritt
Beantworten Sie die folgenden vier Fragen (die Ihre Informationssicherheitsleitlinie darstellen):
- In welchem Kontext steht Ihre Organisation zum "Rest der Welt"? Wohin möchten Sie? Was treibt Sie an?
- Welche Stakeholder haben Interessen an Ihrer Organisation und der Informationssicherheit, die sie bietet?
- Welche Informationssicherheitsziele geben Sie sich selbst - basierend auf den Interessen aus Punkt 2.?
- Welcher Anwendungsbereich ergibt sich dadurch für Sie?
Diese 4 Fragen stellen einen Zoom von ganz außen bis hin zum Kern dar: Dem, was für Sie schützenswert ist und denjenigen bei Ihnen, die sich fortan um Informationssicherheit kümmern müssen.
Möglicherweise interessiert Sie, wie lange Sie für Ihr ISO 27001-Projekt brauchen? Oder wie kostenintensiv das Ganze wird? Dazu haben wir hier und hier etwas geschrieben.
Haben Sie noch Fragen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns! Oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).