ISO 27001 – ein Fall für die Rechtsabteilung?
ISO 27001 - ein Compliance-Projekt: Thema für die Rechtsabteilung?
Rechtsabteilungen haben einige spezifische Herausforderungen, wenn sie das Thema ISO 27001 Compliance umsetzen sollen. Wir gehen auf die wichtigsten ein:Verständnis der Organisationsprozesse
Rechtsabteilungen konzentrieren sich in in ihrer täglichen Arbeit häufig in erster Linie auf Verträge und Einhaltung gesetzlicher Vorschriften. Ihr Fachwissen weniger darin, die Feinheiten der Organisationsprozesse zu verstehen oder zu adaptieren. Wenn Rechtsabteilungen für die ISO 27001-Konformität verantwortlich sind, können sie Schwierigkeiten haben, die technischen und betrieblichen Aspekte der Informationssicherheit zu erfassen.Wissen im Bereich IT-Sicherheit
Die ISO 27001 erfordert ein umfassendes Verständnis von IT-Sicherheitspraktiken. Rechtsabteilungen verfügen von Natur aus möglicherweise nicht über die erforderliche Expertise in bspw. Bereichen wie Anti-Malware-Maßnahmen, Authentifizierungsmanagement, Mobile Device Management (Universal Endpoint Management) oder Cloud-Security. Dadurch können wichtige Sicherheitsaspekte übersehen oder unzureichend berücksichtigt werden.Praktikabilität
Die Daseinsberechtigung einer jeden Rechtsabteilung liegt darin, das eigene Unternehmen vor rechtlichen Folgen zu schützen. Dieser Ansatz zieht sich wie ein roter Faden durch ISO 27001-Projekte, die die Rechtsabteilung umsetzt. In Folge mangelnder Erfahrung in Bereichen- "Was ist technisch möglich und sinnvoll?" und auch
- "Wie organisieren wir es in der Firma?"
Und so sollte eine Regelung nicht aussehen:
"Alle Mitarbeiter müssen zu jeder Zeit alle nationalen wie internationalen gesetzlichen Regelungen zur Verschlüsselung wichtiger Daten einhalten. Eine Zuwiderhandlung kann seitens der Firma durch Entlassung und Schadensersatzforderungen geahndet werden." Ein solcher Ansatz ist zum einen völlig realitätsfern und schafft zudem eine Atmosphäre der Angst, was zu kontraproduktiven Ergebnissen führt. Aber die Rechtsabteilung hat ihre Aufgabe erfüllt: Die Haftbarkeit liegt nicht mehr beim Unternehmen.Wie geht's denn besser?
Der bessere Ansatz ist dieser: Stellen Sie ein Projektteam zusammen. Sie benötigen die folgenden Rollen:- Projektmanager: Ein Projektmanager mit fundierten Kenntnissen in Projektsteuerung und -führung ist von entscheidender Bedeutung. Diese Person kann das gesamte Projekt effektiv koordinieren, die Teammitglieder einbinden, regelmäßige Berichte an die Geschäftsführung liefern und Hindernisse identifizieren sowie zusätzliche Ressourcen ermitteln, die möglicherweise benötigt werden.
- Branchenkenner (Prozessexperten): Das Projektteam sollte aus Mitgliedern bestehen, die das Geschäft und die betrieblichen Abläufe der Organisation gut verstehen. Sie müssen wissen, welche Aspekte "sicher gemacht werden müssen" und wie die ISO 27001-Anforderungen auf das spezifische Geschäftsumfeld zugeschnitten werden können. Dieses Verständnis ist entscheidend, um die Sicherheitsmaßnahmen effektiv anzuwenden und Compliance zu gewährleisten.
- Personalabteilung (HR): Personalsicherheit ist ein wichtiger Aspekt der ISO 27001. Die Einbindung von Vertretern der Personalabteilung im Projektteam ermöglicht eine umfassende Betrachtung dieser Thematik. Sie können sicherstellen, dass Sicherheitsrichtlinien und -verfahren in Einklang mit den Personalrichtlinien stehen und die Mitarbeiter angemessen geschult und sensibilisiert werden.
- Datenschutzbeauftragter: Datenschutz ist ein Bestandteil der ISO 27001. Die Einbindung eines Datenschutzbeauftragten im Projektteam gewährleistet, dass die Datenschutzanforderungen in den Sicherheitsmaßnahmen berücksichtigt werden.
- IT-Admin: Die ISO 27001 schreibt nur wenige technische IT-Sicherheitsmaßnahmen vor - aber der IT-Admin kann Ihnen sagen, welche Anforderungen aus der Norm einfach über IT abbildbar sind (oder sogar schon fertig sind).