12. März 2021

Prozessnorm ISO 27001 – was steckt dahinter?

Von Joachim Reinke

März 12, 2021

Prozess

Prozessnorm ISO 27001 - was steckt dahinter? Hand aufs Herz: Alleine das Wort "Prozessnorm" sorgt bei uns Normalsterblichen ja nicht gerade für Jubelstürme, oder?

Was bedeutet "Prozessnorm"?

Am einfachsten lässt sich das erklären, wenn wir über das Gegenteil einsteigen:

In Erstgesprächen mit Firmen und Organisationen, die Richtung ISO 27001-Zertifizierung arbeiten wollen, fallen häufig die folgenden Sätze:

"Eigentlich ist bei uns alles schon sehr hacking-sicher. Wir haben erst letzte Woche bei allen PCs die neuesten Updates eingespielt."

oder

"Für uns wird das Zertifikat kein Problem sein, wir arbeiten sowieso nur in einem hermetisch abgeschirmten VPN."

oder

"Wir haben die neuesten Firewalls installiert - wir sind sicher wie Fort Knox. Meinetwegen kann morgen das Audit stattfinden!"

Das sind alles für sich genommen sinnvolle Ansätze, aber die ISO 27001 denkt ganzheitlicher.

Szenenwechsel:

Wie baut man eigentlich ein gutes Haus?

Wie gehen Sie eigentlich vor, wenn Sie ein stabiles, sicheres Haus bauen möchten? Würde es ausreichen, wenn Sie alle notwendigen Bauteile bestellen und auf Ihrem Grundstück abladen lassen?

Würden Sie dann Ihren neuen Nachbarn mit Stolz sagen: "Wir haben alles getan, um ein stabiles, sicheres Haus zu bekommen - wir haben gerade eben die besten Bauteile liefern lassen! Im Grunde sind wir fertig!"?

Sicherlich nicht!

Was dann ganz klar fehlen würde, wäre die ganze gut geregelte Zusammenarbeit zwischen meist zehn und mehr Gewerken. Erst durch sie entsteht auf magische Art und Weise aus einer Menge von Einzelteilen ein Haus!

Diese Zusammenarbeit ist der eigentliche Kitt. Er sorgt dafür, dass sich alles ineinanderfügt.

Wenn der Maurer losarbeitet, bevor der Keller fertig ist oder der Dachdecker den Dachstuhl auf der noch nicht ausgehärteten Betonwand baut, wird das nichts mit Ihrem sicheren und stabilen Haus.

Die Prozessnorm ISO 27001 ist auch nur ein Hausbau...

Sie können Ihren Hausbau gut mit einem ISO 27001-Zertifizierungsprojekt vergleichen: es kommt auf eine gut geregelte Zusammenarbeit an. Die heißt in der Normensprache nunmal "Prozessorientierung". Daher auch der Begriff Prozessnorm.

Denn auch der beste Firewall nützt Ihnen nichts, wenn ihn niemand einbaut, wartet, repariert oder austauscht. Und das neueste Windows-Update verhindert nicht, dass jemand im Starbucks neben Ihnen sitzt und vertrauliche Informationen mitliest.

...und ein Haus ist niemals fertig!

Ein Haus ist niemals fertig - so sagt man. Immer gibt es Dinge, die repariert, ausgetauscht, verbessert, gewartet werden müssen. Nichts anderes ist Ihr nagelneues ISO 27001-Zertifikat:

Gefährdungslagen ändern sich. Andere Kunden möchten andere Informationen "sicher" haben. Neue Social Hacking Angriffe erfordern andere Vorgehensweisen. - Nur um ein paar typische Änderungen zu nennen.

Aus diesem Grund sind Sie auch mit Ihrer Informationssicherheit nie "fertig": Die ganze Angelegenheit erfordert ständig kontinuierliche Verbesserung!

Prozessnorm ISO 27001 – was steckt dahinter?

Begreifen Sie Informationssicherheit und IT-Sicherheit nicht rein technisches Thema - gehen Sie es an wie die Profis:

  • Überlegen Sie, wie Sie sich als Team am besten aufstellen, um gemeinsam Informationssicherheit voranbringen.
  • Denken Sie risikobasiert: an welcher Stelle ist am ehesten ein Sicherheitsvorfall zu erwarten und was könnte man gemeinsam bereits vorbeugend dagegen tun?

IT-Sicherheit und Informationssicherheit bekommen Sie nur gemeinsam in den Griff - nicht als Einzelkämpfer und auch nicht durch den Wettlauf um das neueste Firmware-Update auf Ihrer Firewall.

Informationssicherheit durch gute Zusammenarbeit? Wenn Sie noch Fragen haben, vereinbaren Sie doch einfach einen unverbindlichen Gesprächstermin mit uns!

Über den Autor

Joachim Reinke

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Einen Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht. Pflichtfelder sind markiert

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}