Wer seine Informationen – und die des Kunden – heutzutage noch umfassender schützen will, setzt auf die internationale Norm ISO 27001. Sie spezifiziert Anforderungen für ein Informationssicherheits-Managementsystem (ISMS) innerhalb des Unternehmens. Auf dem Weg zu einer erfolgreichen Zertifizierung gilt es allerdings einige Hürden zu überwinden. Welche Erfahrungen die Interface AG während ihres Zertifizierungsprozesses machen konnte und welche Hindernisse sie dabei überwinden musste, lesen Sie in diesem Artikel.
IT-Infrastrukturen wandeln sich rasant. Vor allem die Popularität von Cloud-Computing-Diensten oder Modellen wie „Bring Your Own Device” (BYOD) führen dazu, dass immer mehr sensible Daten und Informationen außerhalb der IT-Infrastruktur eines Unternehmens gespeichert und verarbeitet werden. Dadurch steigen die Gefahren durch Cyber-Angriffe, die für ein Unternehmen empfindliche finanzielle Folgen bedeuten können.
Entscheider müssen sich daher vor allem eine Frage stellen: Wie schütze ich Informationen aus unterschiedlichsten Quellen in verschiedenen Systemen effizient und effektiv? Und wie kann ich meinen Kunden kommunizieren, dass ich den Datenschutz ernst nehme?
Eine Zertifizierung nach ISO 27001 nimmt bei der Beantwortung dieser Fragen einen bedeutenden Anteil ein, dem auch in dieser Artikelserie Rechnung getragen werden soll. In unserem vorangegangenem Blogbeitrag haben wir gezeigt, wie eine ISO 27001-Zertifizierung Schritt für Schritt gelingen kann – und welchen nachhaltigen Nutzen diese bringt.
In diesem zweiten Artikel wollen wir nun darstellen, welche Hindernisse die InterFace AG während des Zertifizierungsprozesses überwinden musste und worauf andere Unternehmen – basierend auf diesen Erfahrungen – achten sollten.
Unsere Erfahrungen: So funktioniert eine ISO-27001-Zertifizierung in der Praxis
Seit Juli dieses Jahres ist das Informations-Sicherheits-Management der InterFace AG nach ISO 27001 zertifiziert.
Das Zertifikat bescheinigt einem Unternehmen als sogenanntes „Managementsystem mit Bezug auf die Informationssicherheit” (ISMS), dass es den Schutz kritischer Unternehmensdaten sowie die Sicherheit der bestehenden IT-Infrastruktur jederzeit auf einem hohen Niveau garantieren kann. Um während des Zertifizierungsprozesses die maximale Neutralität zu gewährleisten, entschied sich der Vorstand der InterFace AG, einen externen Informationssicherheitsbeauftragten (ISB) hinzuzuziehen, der die technische und organisatorische Durchführung der Zertifizierung übernimmt.
Vor allem Mitarbeiterschulungen, die Beratung der Geschäftsführung sowie interne Audits gehören zu seinen Aufgaben.
Drei große Hürden – und drei wichtige Learnings
Hürde 1 – Umstellung der IT-Infrastruktur während des prozesses
Es dauerte etwas über zwei Jahre, bis sich die IF zur Zertifizierung anmelden konnte. Dies war hauptsächlich der Tatsache geschuldet, dass während des 27001-Projektes gleichzeitig die IT-Infrastruktur komplett auf die Nutzung externer Cloud Services umgestellt wurde. Die InterFace AG ist damit eines der wenigen Unternehmen, die im Rahmen einer vollumfänglichen Auslagerung der eigenen Services in die Cloud gleichzeitig eine ISO-27001-Zertifizierung erreicht haben.
Learning:
Der Aufwand und der Umfang einer IS0-27001-Zertifizierung ist größer, als man vielleicht zu Beginn denken mag. Wichtig ist zu beachten: für die Umsetzung der meisten Vorgaben werden vor allem Ressourcen aus der IT sowie zusätzliches IT-Budget benötigt.
Hürde 2 – Priorisierung
Auch wenn die Einführung eines ISMS im Unternehmen priorisiert wurde, gestaltete sich die Umsetzung oftmals schwierig da die Mitarbeiter von Beratungsfirmen – wie die InterFace AG – meist in Kundenprojekten tätig sind und so grundsätzlich nur begrenzt für interne Projekte zur Verfügung stehen. Eine Zertifizierung droht dabei im Alltag zur Nebentätigkeit degradiert zu werden, was den Gesamterfolg erheblich gefährden kann.
Learning:
Die Arbeit auf mehrere Schultern verteilen: Es empfiehlt sich, wenige Personen komplett für den Prozess freizustellen – oder aber: einen dedizierten Projektleiter einzusetzen, externe Unterstützung dazuzuholen und freie interne Ressourcen zu bündeln, um die Einführung eines ISMS stringent verfolgen zu können. Genau dieser Weg erwies sich im Falle der InterFace AG als der richtige. Für die Budgetierung gilt hierbei allerdings zu beachten: Ein ISMS-Projekt mit dem Ziel der Zertifizierung hat schnell höhere zweistellige externe Beratertage.
Hürde 3 – Kommunikation:
Der Begriff „Hürde” mag beim Thema Kommunikation übertrieben scheinen – tatsächlich ist sie aber einer der wichtigsten Faktoren bei der Umsetzung. Schließlich führt ein Mangel an Kommunikation im Alltag zu Missverständnissen und Verzögerungen im Zertifizierungsablauf. Ein Informationssicherheits-Managementsystem funktioniert nur so gut, wie es letztlich von allen Prozessbeteiligten akzeptiert wird. Stetige und transparente Kommunikation ist dafür unerlässlich.
Learning:
Jeder Mitarbeiter muss über die Richtlinien und Prozesse der Organisation – und dessen Gründe – deutlich, verständlich und nachvollziehbar informiert werden und diese anwenden können. Das kann durch eine bzw. regelmäßige Schulungen gelingen. Zusätzlich müssen sämtliche notwendigen Richtlinien und Prozesse gut zugänglich für alle Mitarbeiter zur Verfügung gestellt werden. Sind die Gründe für die Einführung eines ISMS, dessen Ablauf und die Freigabe der Dokumentation nicht transparent und verständlich kommuniziert, fehlt das Engagement der Mitarbeiter und das ISMS ist letztlich zum Scheitern verurteil
Fazit: ISO 27001 muss mit Leben gefüllt werden
ISO 27001 ist eine internationale Norm und kann daher grundsätzlich nicht als einfache „Schablone” auf jedes Unternehmen angelegt werden, bei der man fein säuberlich die kleinen überschüssigen Papierränder abschneidet und dann ein fertiges Produkt erhält.
ISO 27001 liefert lediglich ein Gerüst, die Inhalte sind für jedes Unternehmen individuell.
Dennoch lässt sich basierend auf den Erfahrungen der InterFace AG folgende Checkliste für eine erfolgreiche Zertifizierung nach ISO 27001 zusammenstellen:
- Vorgehensweise in der Firma von Anfang transparent an Mitarbeiter kommunizieren, um Commitment und Engagement zu steigern. Wichtig auch für die Zeit nach dem ersten Audit – ISMS wird kontinuierlich verbessert und angepasst (KVP)
- Ausreichend IT-Kapazitäten einplanen. Denn das was ein ISMS vorgibt, muss häufig von der IT umgesetzt werden. Die Einführung stockt daher, wenn in der IT von vornherein nicht genügend Ressourcen zur Verfügung stehen oder eine Umstrukturierung der IT nicht möglich ist
- Genügend IT-Budget einplanen
- Dedizierten Projektleiter installieren und externe Unterstützung ins Haus holen
- Kleinen Freigabekreis einrichten um Entscheidungsfähigkeit zu erhalten. Muss ohne Rücksprachen entscheidungsfähig sein
- Vor dem ersten Zertifizierungsaudit: erste (oder mehrere) vorübergehende Version(en) des ISMS umsetzen
- ISMS in der ersten Version so entwickeln, wie der Freigabekreis die Dokumente freigibt
- Ausreichend Schulungszeiten und Schulungskapazitäten einplanen
Sie brauchen einen zuverlässigen Partner bei der Einführung Ihrer ISO-27001-Zertifizierung? Sprechen Sie uns an!