Dejan Kosutic Sie haben diese großartige Idee, dass Sie mithilfe der Norm ISO 27001 Compliance erreichen, neue Kunden gewinnen, die Kosten für Vorfälle senken und Ihre IT-Kernprozesse optimieren können? Die Idee ist nett – aber sobald es um die Umsetzung geht, wird es kompliziert.
Zunächst müssten Sie Ihr Management davon überzeugen (falls Sie nicht selbst Teil des leitenden Managements sind), dass die Norm ISO 27001 in Ihrem Unternehmen wirklich notwendig ist. Das Management ist in der Regel mit anderen Verpflichtungen und Fristen überlastet. Es ist wahrscheinlich, dass sie lieber kein weiteres Projekt in Angriff nehmen wollen, um das sie sich kümmern müssten.
Selbst wenn das Management bestrebt ist, etwas im Bereich Informationssicherheit zu tun, stellt sich die zweite Frage – wie wird es finanziert? Auf den ersten Blick mag es scheinen, dass „diese Papiere nicht zu viel kosten sollten“. Bald jedoch werden Sie merken, dass Sie den Berater bezahlen, Fachliteratur kaufen, Ihre Mitarbeiter schulen, in Software und Ausrüstung investieren, für die Zertifizierung zahlen usw.
Aber nehmen wir einmal an, dass Sie wie durch ein Wunder das Geld dafür erhalten. Nun stellt sich die dritte Frage: Wer wird das eigentlich machen? Wenn Sie einen ehrliche Berater haben, so wird er oder sie Ihnen sagen, dass es nicht ausreicht, dass ein Berater Ihnen die Vorlagen der Dokumentation übermittelt, sondern dass Sie die Dokumentation in harter Arbeit an ihre Situation anpassen müssen. Aber es hört hier nicht auf – der Berater sagt Ihnen auch, dass Sie tatsächlich genau das tun müssen, was in der Dokumentation (und in der Norm) steht, was Sie tun sollen. Und es ist eine permanente Verpflichtung, nicht eine einmalige Aufgabe.
Dann sprechen Sie mit Ihren Kollegen und fragen, wie sie die Arbeit für Umsetzung und Ausführung der Norm ISO 27001 aufteilen würden. Diese werden sicher ganz plötzlich das Thema wechseln. Schlimmer noch – vielleicht bitten Sie das Management, einen Informationssicherheitsmanager einzustellen, der aufgrund des Mangels an entsprechenden Fachkräften auf dem Arbeitsmarkt nicht für wenig Geld arbeiten wird.
Also werden am Ende Sie zum Projektleiter für ISO 27001 ernannt, mit einem kleinen oder verschwindenden Budget, mit einem Team, das sich nicht wirklich um Informationssicherheit kümmern möchte, und das Management will das Zertifikat schnellstmöglich nach Projektbeginn.
Sind Sie noch an ISO 27001 interessiert?
Um die häufigsten Probleme mit der ISO 27001 Implementierung zu beheben, sehen Sie sich die Conformio Compliance Software an.
