\u201eDie Norm fordert, dass alle 3 Monate die Passw\u00f6rter ge\u00e4ndert werden.\u201c \u201eDie Norm fordert, dass es mehrere Lieferanten geben muss.\u201c \u201eDie Norm fordert, dass der Standort zur Wiederherstellung im Katastrophenfall mindestens 50 km vom Hauptstandort entfernt sein muss.\u201c Wirklich? Die Norm fordert nichts in dieser Art. Leider h\u00f6re ich diese Art falscher Informationen ziemlich oft \u2013 die Leute halten in der Regel Best Practices f\u00e4lschlicherweise f\u00fcr Anforderungen der Norm. Das Problem ist jedoch, dass nicht alle Sicherheitsvorschriften auf s\u00e4mtliche Unternehmenstypen anwendbar sind. Wer behauptet, dass dies in der Norm vorgeschrieben ist, haben die Norm m\u00f6glicherweise nie gelesen.<\/p>\n
Dies ist der Lieblingssatz der Leitung \u2013 \u201eInformationssicherheit dreht sich nur um IT, nicht wahr?\u201c Nun, nicht wirklich \u2013 zu den wichtigsten Aspekten der Informationssicherheit geh\u00f6ren nicht nur IT-Ma\u00dfnahmen, sondern auch organisatorische Fragen und Personalmanagement, die normalerweise au\u00dferhalb des Einflussbereichs der IT-Abteilung liegen. Siehe auch Informationssicherheit oder IT-Sicherheit?<\/a>.<\/p>\n Sie k\u00f6nnen Ihre ISO 27001<\/a> in 2 oder 3 Monaten umzusetzen, aber es wird nicht funktionieren. Sie w\u00fcrden nur eine Reihe von Richtlinien und Verfahren schaffen, um die sich niemand k\u00fcmmert. Umsetzung von Informationssicherheit bedeutet, dass Sie \u00c4nderungen umsetzen m\u00fcssen, und Ver\u00e4nderungen brauchen Zeit.<\/p>\n Nicht zu vergessen, dass Sie nur diejenigen sich hei\u00df Ma\u00dfnahmen umsetzen, die wirklich notwendig sind. Die Analyse des tats\u00e4chlichen Bedarfs braucht Zeit \u2013 dies wird Risikoeinsch\u00e4tzung und Risikobehandlung genannt.<\/p>\n Dokumentation<\/a> ist ein wichtiger Teil der Umsetzung der ISO 27001, aber Dokumentation ist kein Selbstzweck. Der wichtigste Punkt ist, dass Sie Ihre Aktivit\u00e4ten auf sichere Weise durchf\u00fchren. Die Dokumentation dient hier als Unterst\u00fctzung. Auch die von Ihnen erstellten Aufzeichnungen werden Ihnen bei der Feststellung helfen, ob Sie Ihre Ziele hinsichtlich der Informationssicherheit erreichen. Sie erm\u00f6glichen ihnen auch, Aktivit\u00e4ten mit nicht ausreichender Leistung zu korrigieren.<\/p>\n \u201eWir tun dies nur, um das Zertifikat zu bekommen, nicht wahr?\u201c Nun, das ist (leider) die Art und Weise, wie 80 Prozent der Unternehmen denken. Ich versuche nicht, hier zu argumentieren, dass ISO 27001 nicht zu Werbe- und Vertriebszwecken verwendet werden sollte. Sie kann aber auch zur Erreichung anderer sehr wichtiger Vorteile dienen – wie etwa, so etwas wie Wikileaks bei Ihnen zu verhindern. Siehe auch Vier wichtige Vorteile der ISO 27001 Umsetzung<\/a> und Lehren aus Wikileaks: Aber was ist Informationssicherheit genau?<\/a>.<\/p>\n Der springende Punkt ist: Lesen Sie die ISO 27001, bevor Sie sich eine Meinung dar\u00fcber bilden. Sollte diese Lekt\u00fcre zu langweilig f\u00fcr Sie sein (ich gebe zu, sie ist nicht spannend), so lassen sich von jemandem beraten, der bereits tats\u00e4chlich etwas dar\u00fcber wei\u00df. Und versuchen sie, andere Vorteile als Marketing zu erfassen. Anders ausgedr\u00fcckt: Erh\u00f6hen Sie Ihre Chancen, eine rentable Investition in die Informationssicherheit zu t\u00e4tigen.<\/p>\n\u201eWir werden es in ein paar Monaten umsetzen\u201c<\/h2>\n
\u201eIn dieser Norm geht es nur um Dokumentation\u201c<\/h2>\n
\u201eDer einzige Vorteil der Norm besteht im Marketing\u201c<\/h2>\n