Informationen schützen – aber richtig! (Teil V): Die Organisation

Ein Informationssicherheits-Managementsystem (ISMS) einzuführen, ist eine große Herausforderung für ein Unternehmen. Das Thema ist sehr komplex, deshalb reicht es nicht aus, nur eine Abteilung im Unternehmen mit diesem Projekt zu betrauen. Neben der technischen Seite erfordert vor allem das Management der Informationen große Beachtung.

Schon der Name des Systems stiftet oftmals Verwirrung. Dabei ist eine der ersten Fragen, die aufkommt: Handelt es sich um ein Managementsystem oder um IT-Sicherheit? Oder anders ausgedrückt: Ist die Einführung dieses Systems besser in der IT-Abteilung aufgehoben oder im Bereich Management? Wer soll sich also um das System kümmern? Die Wahrheit liegt in der Mitte!

Informationssicherheit: Aufgabe der IT und des Managements

Die Erklärung ist allerdings etwas komplexer – Informationssicherheit ist das Bindeglied zwischen Geschäfts- und IT-Prozessen. In der Praxis tritt an dieser Stelle oftmals ein Problem auf: Anforderungen werden nicht sauber abgestimmt und beide Seiten reden aneinander vorbei. Wie also entscheidet sich ein Unternehmen? Soll der IT-Verantwortliche oder der Managementsystemverantwortliche das ISMS aufbauen?

Ein ISMS ist weit mehr als nur IT-Sicherheit; deshalb gilt es, sowohl Geschäftsprozessverantwortliche als auch IT-Verantwortliche in das Projekt einzubeziehen. Nur so hat das Unternehmen eine Chance, das ISMS als das zu implementieren, was es ist: ein Managementsystem, um Informationen im Unternehmen zu schützen – unabhängig von seiner Speicherform.

Für die Dokumentation und den Betrieb des ISMS gibt es zahlreiche Hilfsmittel, etwa ein firmeninternes Wiki oder ein Ticketsystem. Beide Tools erlauben es, die Dokumentation zeitnah und unkompliziert zu ändern und somit schnell auf sich verändernde Anforderungen zu reagieren.

Erfüllung der Normen bei Einführung eines ISMS

Eine weitere Hürde bei der Einführung eines ISMS ist die Erfüllung von Normen: Die DIN ISO 27001 unterscheidet sich sehr von anderen Normen wie der DIN ISO 9001 Qualitätsmanagement oder DIN ISO 14001 Umweltmanagement. Sie hat einen normativen Anhang, der bei der Einführung eines ISMS zu berücksichtigen ist, alle 133 Punkte müssen betrachtet und bei einem möglichen Ausschluss hieb- und stichfest begründet werden. Auch die Abgrenzung des Anwendungsbereichs ist speziell: In diesem Punkt sind Unternehmen manchmal zu voreilig und grenzen daher unsauber ab. Die Folge im weiteren Verlauf des Projekts sind nicht selten Kontrollverluste!

Deshalb gilt es, das führende Kriterium bei der Abgrenzung des Anwendungsbereichs zu beachten, den Verantwortungsübergang für Informationen. Nur wenn dieser Punkt sauber definiert wird, kann das ISMS zum gewünschten Erfolg führen.

Eine nächste Herausforderung des Systems ist der Umgang mit Sicherheitsvorfällen. Hier ist es unerlässlich, interdisziplinär zu denken, Zuständigkeiten sinnvoll zu verteilen und Verantwortlichkeiten auszuweiten. Denn oftmals liegt es nicht an der Technik, wenn Informationssicherheit gefährdet ist, sondern an mangelnden Zuständigkeiten und mangelnder Sensibilisierung der Mitarbeiter.

Tipps für ein organisiertes ISMS

Um die Herausforderung der organisatorischen Seite eines ISMS zu meistern, beachten Sie vier Punkte:

1. Legen Sie Verantwortungen genau fest – besser ein Gremium zwischen Geschäftsprozess- und IT-Verantwortlichen als nur ein Systembeauftragter.
2. Definieren Sie Ihren Anwendungsbereich genau – überlegen Sie, wo Gefahrenübergänge stattfinden, wo Informationen in eine andere Hoheit übergehen.
3. Legen Sie Dokumentations- und Aufzeichnungswege fest, die mit der Dynamik mithalten können – zum Beispiel Wiki und Ticketsystem.
4. Legen Sie fest, wie Sie mit Sicherheitsvorfällen umgehen und vor allem, wie und was Sie als Unternehmen daraus lernen können.

(Bild: © Photo Ambiance – Fotolia.com)