3. Februar 2021

Minimum Viable ISMS – ISO 27001 schlank halten!

Von Joachim Reinke

Februar 3, 2021

ISMS, MVP

Minimum Viable ISMS - was ist das eigentlich?

Minimum Viable ISMS - wesentlich bekannter ist ja die Abkürzung MVP: sie steht für "Minimum Viable Product". Also das kleinst mögliche Produkt, das die Probleme eines Anwenders löst.

Im Zusammenhang mit einem ISMS - also einem Informationssicherheitsmanagementsystem - bedeutet dieser Ansatz: die Regelungen für informationssichere Zusammenarbeit im Unternehmen so schlank wie möglich zu halten.

Dabei haben umfangreiche und detaillierte Regeln doch etwas für sich - oder?

Es gibt den Ansatz, die Regeln für informationssichere Zusammenarbeit umfangreich und detailliert zu halten. Das hat im wesentlichen drei Gründe:

  1. Wenn man viele Regeln hat, ist bestimmt für jede Situation eine dabei.
  2. Je minutiöser und genauer die Regeln für informationssichere Zusammenarbeit aufgeschrieben sind, desto einfacher sind sie zu befolgen.
  3. Umfangreiche Regelwerke, in denen jedes Detail der Informationssicherheit genau dargestellt wird, beeindrucken nicht zuletzt Auditoren.

Wir glauben nicht an diesen Ansatz.

Schlanke Regelungen für Informationssicherheit sind besser - weil sie weniger regeln

Albert Einstein soll einmal gesagt haben: "Ein System ist nicht dann perfekt, wenn man nichts mehr hinzufügen kann, sondern wenn man nichts mehr weglassen kann."

Aus unserer Sicht bedeutet das: wir sind dafür, Regeln so minimalistisch zu halten, dass alles notwendige geregelt wird - aber eben auch nicht mehr.

Das hat die folgenden unschlagbaren Vorteile:

  1. Unternehmen, die neu im Thema ISO 27001 sind und ein ISMS aufbauen müssen, finden sich mit einem kleinen leichtgewichtigen ISMS schneller zurecht als mit einem Werk in 18 Bänden, das 4 Regalmeter füllt. Spätestens im Audit sind Sie so nervös, dass Sie Ihnen sowieso nicht mehr einfällt, wo was steht.
  2. Alles im Detail regeln zu wollen, ist eine Illusion: die Zukunft wird durch umfangreiche Regelwerke auch nicht vorhersehbar.
  3. Umfangreiche Regelwerke tendieren dazu, Menschen alle Entscheidungen abzunehmen. Das führt über kurz oder lang dazu, dass man sein Gehirn morgens dann auch mal zuhause lässt und einfach "Dienst nach Vorschrift" macht. Wir gehen davon aus, dass Ihnen daran nicht gelegen ist.
  4. Schlanke Regelungen zur Informationssicherheit sorgen dafür, dass Ihnen auffällt, wenn Sie an der ein oder anderen Stelle etwas mal genauer regeln müssen - weil es eben etwas genauer sein muss. Aber können Sie die fehlenden Stellen in 4 Regalmetern einfach auffinden? Bestimmt nicht.

Unser Tipp

In einem ISMS - also der Sammlung von Regelungen, die Sie sich selbst geben, damit Sie informationssicher arbeiten können - sollte es effektiv und effizient zugehen. Das bedeutet konkret:

  • Regeln Sie, was Sie regeln müssen, aber eben auch nicht mehr.
  • Sorgen Sie dafür, dass im Zweifelsfall etwas Sinnvolles getan wird für Informationssicherheit - und nicht einfach nur eine Regel ausgeführt wird.

Möchten Sie mehr zu einem schlanken und effizienten ISMS wissen? Dann vereinbaren Sie doch einfach einen unverbindlichen Gesprächstermin mit uns!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD, TÜV Rheinland und die AOK.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}