ISO 27001 & BS 25999

Dies ist normalerweise eine der ersten Fragen, die mir von potenziellen Kunden gestellt wird. Zu ihrer Enttäuschung kann ich ihnen die genaue Zahl nicht sofort nennen – hier ist der Grund.

In erster Linie hängen die Gesamtkosten der Umsetzung von der Größe Ihres Unternehmens ab (oder der Größe der Unternehmenseinheit(en), die in den Anwendungsbereich der ISO 27001 aufgenommen werden, der Kritikalität von Informationen (zum Beispiel werden Informationen in Banken als kritischer erachtet, so dass ein höheres Maß an Schutz erforderlich ist), der vom Unternehmen verwendeten Technologie (zum Beispiel haben Rechenzentren wegen ihrer komplexen Systeme tendenziell höhere Kosten) und den gesetzlichen Anforderungen (in der Regel sind Finanzbranche und staatliche Sektoren hinsichtlich der Informationssicherheit in höchstem Maße reguliert).

Zweitens wird es nicht möglich sein, die genauen Kosten zu berechnen, bevor Sie nicht wissen, welchen Schutz Sie brauchen – Sie müssen zuerst Risikoeinschätzungen durchführen. Eine solche Analyse sagt Ihnen, welche Sicherheitsmaßnahmen erforderlich sind.

Wenn Sie die Ergebnisse der Risikoeinschätzung kennen, müssen Sie die folgenden Kosten berücksichtigen:

1. Kosten für Fachliteratur und Schulung

Die Umsetzung der ISO 27001 erfordert Änderungen in Ihrem Unternehmen und neue Qualifikationen. Sie können Ihre Mitarbeiter durch den Kauf verschiedener Bücher zum Thema und/oder durch die Entsendung zu Kursen (Präsenz- oder Onlinekurse) vorbereiten – diese Kurse dauern zwischen 1 bis 5 Tagen (lesen Sie Lernen über ISO 27001 und BS 25999-2).

Und vergessen Sie nicht, die ISO 27001 Norm selbst zu kaufen – zu oft besuche ich Unternehmen, welche die Norm umsetzen, ohne sie wirklich zu sehen.

2. Kosten für externe Unterstützung

Leider reicht eine Schulung Ihrer Mitarbeiter nicht aus. Sollten Sie keine Projektmanager mit weitreichender Erfahrung bei der Umsetzung der ISO 27001 zur Verfügung haben, so benötigen Sie jemanden, der über solche Kenntnisse verfügt – Sie können entweder einen Berater engagieren oder alternativ Online-Hilfe in Anspruch nehmen (das machen wir bei der der Information Security & Business Continuity Academy).

Der größte Mehrwert eines Mitarbeiters, der Sie bei dieser Art von Projekten unterstützt, besteht darin, dass Sie am Ende nicht in einer Sackgasse stecken – nach monatelangen Aktivitäten, die nicht wirklich notwendig gewesen sind oder nach Unmengen an Dokumentation, die gemäß der Norm nicht erforderlich waren. Und das kostet wirklich.

Doch seien Sie diesbezüglich vorsichtig – erwarten Sie nicht, dass der Berater die gesamte Umsetzung für Sie erledigt – die ISO 27001 kann nur von Ihren Mitarbeitern umgesetzt werden.

3. Kosten für die Technologie

Es mag komisch klingen, aber die meisten Unternehmen, mit denen ich gearbeitet habe, brauchten keine großen Investitionen in Hardware, Software oder Ähnliches – alles dies war bereits vorhanden. Die größte Herausforderung bestand in der Regel darin, wie vorhandene Technologie auf eine sicherere Weise genutzt werden sollte.

Allerdings müssen Sie diese Investitionen planen, falls sie sich als notwendig erweisen.

4. Kosten für Mitarbeiterzeit

Weder setzt sich die Norm selbst um noch kann sie alleine von einem Berater umgesetzt werden (falls Sie einen engagieren). Ihre Mitarbeiter müssen einige Zeit aufwenden, um herauszufinden, wo die Risiken liegen und wie bestehende Verfahren und Leitlinien verbessert werden können. Ebenso benötigen sie Zeit, um sich für die neuen Aufgaben und die Anpassung an neue Regeln weiterzubilden.

5. Kosten für die Zertifizierung

Wenn Sie einen öffentlichen Nachweis erhalten möchten, dass Sie ISO 27001 erfüllen, so muss die Zertifizierungsstelle ein Zertifizierungsaudit durchführen. Die Kosten dafür hängen von der Anzahl der Manntage für diese Aufgabe ab. Der Aufwand reicht von 10 Arbeitstagen für kleinere Unternehmen bis zu ein paar Dutzend Arbeitstage für größere Organisationen. Die Kosten für einen Manntag sind je nach den örtlichen Marktverhältnissen unterschiedlich.

Sie müssen sehr vorsichtig sein, die tatsächlichen Kosten des ISO 27001 Projekts nicht zu unterschätzen – falls doch, so wird Ihr Management beginnen, Ihr Projekt in einem negativen Licht zu sehen. Auf der anderen Seite wird eine korrekte Prognose sämtlicher Kosten Ihre Professionalität unter Beweis stellen. Vergessen Sie nicht: Sie müssen immer Kosten und Nutzen präsentieren – lesen Sie dazu Vier wichtige Vorteile der ISO 27001 Umsetzung.

Sie können sich auch unser Video Tutorial How to Set Up ISO 27001 Project – Writing the Project Plan ansehen (kommerzielles Video).

Eine Schulung ist sicherlich eine der besten Möglichkeiten zur Erleichterung Ihrer Umsetzung von ISO 27001 und BS 25999-2. Da immer mehr Arten von Kursen zur Verfügung stehen, werde ich versuchen, deren Vorteile und die Unterschiede zwischen ihnen zu erläutern.

Der erste Typ ist die Liste der Präsenzkurse – diese Kurse sind immer noch weit verbreitet, verlieren aber stetig gegenüber den Online-Kursen (siehe Erklärung am Ende dieses Artikels).

ISO 27001, BS 25999-2, Kurs für leitenden Auditor

Dies ist der beliebteste Kurs für ISO 27001 oder BS 25999-2 – er dauert 5 Tage und endet mit einer schriftlichen Prüfung. Die Prüfung ist recht schwierig. Niemand sollte davon ausgehen, dass dies der höchste Kurs für beide Normen ist. Wenn Sie die Prüfung bestehen, können Sie ein Prüfer für eine Zertifizierungsstelle werden, aber dies ist nicht der größte Vorteil. Dieser Kurs ist am nützlichsten für Profis, welche die Norm umsetzen, denn er gibt einen hervorragenden Überblick der Normen und bietet tief greifende Erklärungen dessen, wonach die Zertifizierungsprüfer beim Zertifizierungsaudit fragen werden. Daher ist er sowohl für Auditoren als auch für Projektleiter sinnvoll.

Die Zielgruppe für diesen Kurs sind Profis mit mäßiger oder bedeutender Erfahrung in der Informationssicherheit, im betrieblichen Kontinuitätsmanagement, Audits oder IT. Sie sollten nur akkreditierte Studiengänge (z. B. durch IRCA – irca.org) wählen.

ISO 27001, BS 25999-2, Kurs für Projektleiter

Dieser Kurs ist ähnlich, aber nicht so beliebt wie der ISO 27001 oder BS 25999-2 Kurs für den leitenden Auditor. Der Unterschied ist, dass er sich eher auf die Techniken der Umsetzung als auf die Audits konzentriert – sollte also nicht die Zertifizierung ist Ihr Anliegen sein, so könnten Sie diesen Kurs für geeigneter halten.

In diesem Fall ist die Zielgruppe ähnlich – Profis mit mäßiger oder bedeutender Erfahrung in der Informationssicherheit, im betrieblichen Kontinuitätsmanagement oder IT.

ISO 27001, BS 25999-2, Kurs für internen Auditor

Dieser Kurs ist eine „Light“-Version des ISO 27001 oder BS 25999-2 Kurs für den leitenden Auditor. Er dauert in der Regel 2 oder 3 Tage, mit oder ohne Prüfung, und der Inhalt ist eine gekürzte Fassung des Kurs für den leitenden Auditor. Der Hauptunterschied besteht darin, dass Sie mit diesem Kurs kein Prüfer bei einer Zertifizierungsstelle werden können. Falls Sie jedoch eine systematische Einführung in die Welt der ISO 27001 oder BS 25999-2 möchten oder Sie interner Prüfer in Ihrem Unternehmen werden wollen, so ist dieser Kurs die richtige Wahl für Sie.

Zielgruppe sind Profis mit geringer oder mäßiger Erfahrung in der Informationssicherheit, im betrieblichen Kontinuitätsmanagement oder IT.

ISO 27001, BS 25999-2, Grundlagenkurs / Einführungskurs

Diese Kurse dauern in der Regel ein oder zwei Tage – ihr Zweck besteht nicht darin, Sie über Audit oder die Umsetzung der Techniken zu informieren, sondern Ihnen einen Überblick über die Anforderungen und Herausforderungen der Umsetzung zu geben. Wenn Sie nicht viel Zeit übrig haben und wissen wollen, was bei der Umsetzung auf Ihr Unternehmen zukommt, sollten Sie über einen dieser Kurse nachdenken.

Zielgruppe sind Mitglieder der Geschäftsleitung oder Profis ohne Erfahrung in der Informationssicherheit oder im betrieblichen Kontinuitätsmanagement.

Weitere Kurse zur Informationssicherheit / betrieblichen Kontinuitätsmanagement

Sie haben vielleicht die Begriffe Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) oder Certified Information Systems Security Professional (CISSP) gehört – obwohl ich diese Kurse für Ihre Informationssicherheit oder Ihr betriebliches Kontinuitätsmanagement für sehr nützlich halte, sind sie für ISO 27001 oder BS 25999-2 nicht direkt relevant. Daher sollten Sie CISA, CISM und/oder CISSP erst besuchen, nachdem Sie Kurse besucht haben, die sich direkt auf beide Normen beziehen.

Online-Kurse

Zusätzlich zu den oben genannten Präsenzkursen werden Online-Kurse (entweder in Form von E-Learning oder Live-Webinaren) immer beliebter, teils wegen der niedrigeren Kosten – keine Reisekosten, keine verlorene Zeit außerhalb des Büros. Es gibt immer mehr Anbieter im Internet, die immer mehr qualitative Inhalte (einschließlich unserer Information Security & Business Continuity Academy) – Sie können Kurse von einer Stunde (z. B. kostenlose Webinare), bis zu ein paar Wochen (z. B. E-Learning-Kurse) finden.

Der Hauptvorteil von Online-Kursen ist, dass man mehr relevantes Wissen in kürzerer Zeit und für weniger Geld erhält, obwohl die Frage nach der tatsächlichen Wirksamkeit solcher Kurse weiter unbeantwortet bleibt.

Doch unabhängig davon, für welche Form oder Art des Kurses Sie sich entscheiden – seien Sie sich über eine Sache sicher – die Rendite wird sich sehr schnell zeigen.

Sie können sich auch unsere ISO 27001 Video Tutorials ansehen, die jeden Schritt in der ISO 27001 Durchführung erklären (kommerzielle Videos).

Ihr Management hat Ihnen die Aufgabe übertragen, ein betriebliches Kontinuitätsmanagement umzusetzen, aber Sie sind nicht wirklich sicher, wie das geht? Obwohl es keine einfache Aufgabe ist, können Sie sich mit der BS 25999-2 Methodik das Leben einfacher machen – hier sind die wichtigsten Schritte, die für die Umsetzung dieser Norm notwendig sind:

1. Unterstützung des Managements einholen

Obwohl dies in BS 25999-2 kein verbindlicher Schritt ist, so ist dies sicherlich der entscheidende Schritt am Anfang. Sollte das Management die Vorteile des betrieblichen Qualitätsmanagements nicht verstehen und sich nicht für dieses Projekt engagieren, so ist das Projekt wahrscheinlich zum Scheitern verurteilt.

2. Behandeln Sie es als Projekt

Es wird ziemlich viel Zeit und Ressourcen kosten, Ihr betriebliches Kontinuitätsmanagement (BCMS) einzurichten – Sie müssen klar definieren, was getan werden muss, in welchem Zeitrahmen, und welche Aufgaben bei der Projektdurchführung anstehen. Mit anderen Worten müssen Sie Methoden des Projektmanagements anwenden.

3. Definieren Sie Ziele und Anwendungsbereich. Schreiben Sie eine BCM-Leitlinie

Sie müssen definieren, was Sie mit dem BCMS erreichen möchten – Compliance, Senken des Risikos, Anforderungen Ihrer Kunden/Partner usw. Darüber hinaus müssen Sie definieren, was Sie in Ihr BCMS integrieren werden – die gesamte Unternehmensorganisation oder nur einen Teil davon. So können Sie entscheiden, dass Sie nur Ihr Rechenzentrum einbeziehen, falls Sie Hosting-Dienstleistungen für Ihre Kunden anbieten. Alles dies muss in der BCMS-Leitlinie dokumentiert werden.

4. Definieren von Rollen und Verantwortlichkeiten für das BCMS

Da das BCMS in Ihrem Unternehmen zu einer dauerhaften Tätigkeit werden wird, müssen Sie klare Verantwortlichkeiten dafür definieren. Dies gilt besonders für den „Sponsor“ des BCMS (jemand, der die Verantwortung für das BCMS trägt, aber nicht in alltägliche BCMS-Tätigkeiten involviert ist) und „BCM-Koordinator“, „BCM-Manager“ oder Ähnliches – eine oder mehrere Personen mit aktiven Pflichten hinsichtlich des BCMS. Es ist am besten, diese Rollen und Verantwortlichkeiten in Ihrer BCM-Leitlinie zu dokumentieren.

5. Obligatorische Verfahren umsetzen

BS 25999-2 fordert die Umsetzung der folgenden vier obligatorischen Verfahren: Dokumenten- und Aufzeichnungsmanagement, internes Audit, Vorbeugungs- und Korrekturmaßnahmen. Diese Verfahren sind in der Tat das Fundament Ihres Managementsystems, ähnlich wie in der ISO 27001 oder ISO 9001.

6. Durchführen der Geschäftsauswirkungsanalyse und der Risikoeinschätzung

Mithilfe einer Geschäftsauswirkungsanalyse müssen Sie die kritischen Aktivitäten, ihren maximal tolerierbaren Störungszeitraum und die Abhängigkeiten dieser kritischen Aktivitäten (einschließlich Abhängigkeiten gegenüber Lieferanten und Outsourcing-Partnern) erkennen und Recovery Time Objectives festlegen.

Durch die Risikoeinschätzung finden sie tatsächlich heraus, welche Ursachen die Unterbrechung Ihrer kritischen Aktivitäten haben könnten – sie können natürliche Gründe haben oder auf Menschen zurückzuführen sein (entweder absichtlich oder versehentlich). Sie müssen auch eine Risikobehandlung durchführen. Das heißt, dass Sie entscheiden müssen, wie mögliche Fehlentwicklungen eingedämmt werden sollen. Leider werden Risikoeinschätzung und -behandlung in dieser Norm nicht sehr klar definiert. Daher sollten Sie vielleicht einen Blick auf ISO 27001 werden, in der diese Aspekte detaillierter beschrieben werden.

7. Festlegen der Strategie für betriebliches Kontinuitätsmanagement

Bevor Sie Pläne für betriebliches Kontinuitätsmanagement verfassen, müssen Sie festlegen, welche Ressourcen Sie für die Wiederaufnahme Ihrer kritischen Aktivitäten benötigen – welche Mitarbeiter, Standorte, Daten, Hardware, Software, Lieferanten, Outsourcing-Partner usw.

Die Strategie für betriebliches Kontinuitätsmanagement muss nicht nur festlegen, was Sie brauchen, sondern auch, wie Sie sich diese Ressourcen beschaffen.

8. Entwicklung eines Störfallmanagements und von Plänen für betriebliches Kontinuitätsmanagement

Der Zweck von Störfallmanagementplänen besteht darin, zu beschreiben, wie Sie direkt auf einen Vorfall reagieren (z. B. Feuer, Erdbeben, Bombendrohung, Stromausfall usw.), um eine Ausweitung zu verhindern und zu versuchen, die direkten Auswirkungen einzudämmen. Andererseits besteht der Zweck der Pläne für betriebliches Kontinuitätsmanagement in der Beschreibung, wie Sie Ihre kritischen Tätigkeiten wiederherstellen – wie Sie alle vorbereiteten Ressourcen in Aktionen umsetzen. Das bedeutet, dass Sie beschreiben müssen, wer was tun soll, in welcher Zeit, mithilfe welcher Daten und Technologie, um Ihr Unternehmen wieder in Betrieb nehmen zu können.

Sämtliche dieser Pläne müssen detailliert beschrieben werden, denn sie müssen auch dann ausgeführt werden, wenn das Hauptpersonal nicht verfügbar ist – aus diesem Grund müssen so geschrieben werden, dass jeder andere in der Lage wäre, sie auszuführen.

9. Schulung und Sensibilisierung

Sie müssen die erforderliche Kompetenz definieren, um die Pläne des betrieblichen Kontinuitätsmanagements im Falle einer Unterbrechung durchführen zu dürfen und dann sämtliche Mitarbeiter schulen (Mitarbeiter und externe Partner), um diese Kompetenz zu erreichen.

Dies ist jedoch nicht genug – Sie müssen Ihren Mitarbeiter auch erklären, warum BCM notwendig ist. Seien wir ehrlich – Ihre Pläne für betriebliches Kontinuitätsmanagement werden vielleicht nur einmal im Leben genutzt. Daher werden sie von vielen Menschen als Zeitverschwendung angesehen. Daher müssen Sie erklären, warum so eine Sache eingerichtet werden muss. (Siehe auch Der Umgang mit BCM-Skeptikern)

10. BCMS-Übungen

Wenn Sie dachten, dass Sie Ihre schriftlichen Pläne perfekt verfasst haben, liegen sie möglicherweise falsch – es ist fast unmöglich, gleich am Anfang einen fehlerfreien Plan zu schreiben. Deshalb sind Übungen ein obligatorischer Teil des BCMS: Sie müssen Ihre Pläne in einer Situation testen, die der einer echten Störung mehr oder weniger ähnelt. Nur dann werden Sie herausfinden, was Sie gut geplant haben – und was nicht.

11. Pflege und Überprüfung des BCMS

Ein weiterer Weg, um Ihr BCMS aktuell zu halten, ist die Festlegung der Intervalle, in denen Sie Ihre Pläne für betriebliches Kontinuitätsmanagement sowie weitere Regelungen überprüfen (z. B. Verträge mit Lieferanten und Outsourcing-Partnern, Schulung und Sensibilisierung usw.). Es gibt alle möglichen Arten von umfeldbezogenen Veränderungen, durch die Ihre Dokumentation obsolet werden könnte: Es reicht aus, dass ein Mitarbeiter das Unternehmen verlässt, um in einem Plan eine unbrauchbare Rufnummer zu haben, falls diese Person eine Rolle im BCMS hatte.

Ebenso sind zwingend notwendig, im Ernstfall nach einem Vorfall eine Prüfung durchzuführen. Der Zweck besteht darin herauszufinden, wie das Unternehmen tatsächlich reagiert hat – wurden die Pläne befolgt oder nicht.

12. Internes Audit

Der Zweck des internen Audits besteht darin herauszufinden, ob etwas objektiv falsch ist – der interne Prüfer soll seine Person sein, die herausfinden kann, ob Ihr BCMS Fehler enthält, um diese zu korrigieren. Wird es richtig durchgeführt, so kann das interne Audit eine der besten Möglichkeiten sein, um Ihr BCMS zu verbessern. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

13. Managementprüfung

Wie bereits gesagt ist es sehr wichtig, Ihr Management in das Projekt einzubinden – Überprüfung des Managements wurde genau dafür verfasst. Gemäß der Norm muss das Management alle relevanten Fakten über BCM prüfen und entscheiden, ob es seinen Zweck erfüllt hat. Nachdem dies abgeschlossen ist, muss das Management entscheiden, welche Verbesserungen vorgenommen werden müssen.

14. Vorbeugungs- und Korrekturmaßnahmen

Am besten wäre es, Fehler (oder „Nichtübereinstimmungen“, um es mit BS 25999 auszudrücken) bereits zu vermeiden, bevor sie geschehen – dafür werden Vorbeugungsmaßnahmen verwendet – sie korrigieren Dinge auf systematische Weise, bevor ein Problem auftritt. Ähnlich wie bei Vorbeugungsmaßnahmen gibt es auch Korrekturmaßnahmen, die das bereits aufgetretene Problem beheben.

Nun lautet die Frage: Warum sollte man BS 25999-2 verwenden? Obwohl es (noch) keine internationale Norm ist, so ist es doch die weltweit beliebteste Norm für betriebliches Kontinuitätsmanagement. Die oben genannten Schritte wurden von den besten Fachleuten für betriebliches Kontinuitätsmanagement erstellt. Wenn Sie also besten anerkannten Umsetzungsverfahren für betriebliches Kontinuitätsmanagement einsetzen wollen, brauchen Sie nicht weiterzusuchen.

Hier können Sie das Diagramm der BS 25999-2 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen (Registrierung erforderlich).

Haben Sie jemals etwas gehört wie „es kann nicht durchgeführt werden“, „es hat keinen Sinn“, oder „es ist nutzlos, wenn eine größere Katastrophe eintritt“? Falls Sie betriebliches Kontinuitätsmanagement umgesetzt haben, so ist dies wahrscheinlich der Fall. Natürlich würde eine solche Haltung Ihr Projekt nicht voranbringen. Daher folgen einige Vorschläge, wie man mit solchen Leuten umgeht.

„Falls eine größere Katastrophe eintritt, werden wir nichts tun können“

Dies ist wahrscheinlich das häufigste Gegenargument. Nun, das kann stimmen, sofern Sie Ihre Strategie des betrieblichen Kontinuitätsmanagements und Ihre Pläne des betrieblichen Kontinuitätsmanagements nicht unter Berücksichtigung aller möglichen Szenarien erstellt haben. Sollten Sie dies jedoch gemacht haben, dann können Sie entgegnen, dass Sie einen alternativen Standort vorbereitet haben, der für jede Art von Katastrophe weit genug entfernt ist, dass Sie eine Sicherungskopie der Daten vorgenommen haben, dass es einen Ersatz für jeden Mitarbeiter des Unternehmens gibt, dass Sie alternative Anbieter für jede kritische Dienstleistung haben usw.

„Falls ein Atomkrieg ausbricht, wird es nicht funktionieren“

Nun, sofern Sie kein militärischer Lieferant sind, spielt das keine Rolle, oder? Grundsätzlich hätte Ihr Unternehmen bei dieser Art von Katastrophenszenarien keinen Zweck mehr.

„Es hat keinen Sinn“

Beten Sie einfach, dass Sie nie wieder betriebliches Kontinuitätsmanagement brauchen Auch ohne Erwähnung der bekannten Beispiele wie der 11. September oder Hurrikan Katrina reicht es schon, zu fragen, ob Sie jemals einen Stromausfall erlebt haben? Oder ist Ihr Server ausgefallen? Oder vielleicht ein PC mit wichtigen Daten? Haben Sie jemals von einem Gebäude gehört, das vollständig abgebrannt ist? Es reicht aus, die Schlagzeilen einer Zeitung zu lesen, um zu verstehen, dass diese Dinge jedem passieren können.

„Wir tun dies nur, um den Auditor zufriedenzustellen“

Falsche Priorität. Wenn Sie es richtig machen, werden Sie sich selbst schützen, und als Folge dessen wird Ihr Auditor zufrieden sein.

„Wir können nicht alle Vorfälle voraussehen“

Das stimmt, zumindest am Anfang. Aber wenn Sie Ihre Risikoeinschätzung wichtig durchführen, nutzen Sie Literatur und verschiedene Ressourcen und prüfen die Einschätzung. Die Chancen stehen gut, dass Sie rechtzeitig in der Lage sind, auf alle möglichen Risiken einzugehen. Sobald Sie diese kennen, können Sie Ihre Antwort vorbereiten.

„Im Notfall werden die Menschen nach ihren Familien schauen, nicht nach dem Unternehmen.“

Auch wahr. Wer würde im Falle eines Erdbebens nicht zuerst seine/ihre Familie anrufen, ob sie alle gesund sind? Aber wenn Sie sehr sorgfältig planen, wer nach einem Vorfall direkt nach Hause gehen kann und wer bleiben und die Situation lösen muss, wenn Sie sich um die Familie der bleibenden Mitarbeiter kümmern (z. B. durch Zuweisung eines anderen Mitarbeiters für diese Aufgabe), dann haben Sie dieses Problem vermutlich gelöst.

„Menschen werden in Krisensituationen irrational reagieren“

Definitiv wahr. Aber wenn Sie Ihre Mitarbeiter (und Lieferanten/Partner) regelmäßig schulen, und wenn Sie Ihre Pläne für betriebliches Kontinuitätsmanagement üben, dann werden sie sich an Stresssituationen gewöhnen, und reagieren wahrscheinlich richtig, falls solche Situationen auftreten.

Wenn Sie ähnliche Projekte bereits umgesetzt werden, dann wissen Sie, wie wichtig die Sensibilisierung ist. Wenn Ihre Kollegen den Zweck solcher Projekte nicht erkennen, werden Sie bei der Umsetzung große Schwierigkeiten erleben. Nicht zu vergessen, dass Ihr Projekt insgesamt scheitern könnte – darum müssen Sie daran denken, rechtzeitig Bewusstsein zu schaffen.

Sie können sich auch unser Webinar BS 25999-2 Foundations Part 2: Business Continuity Strategy ansehen (kommerzielles Training).

Wenn Sie beginnen, ISO 27001 umzusetzen, suchen Sie wahrscheinlich nach einem einfachen Weg. Ich muss Sie leider enttäuschen: Es gibt keinen einfachen Weg. Allerdings werde ich versuchen, Ihre Arbeit zu erleichtern – um eine Zertifizierung nach ISO 27001 zu erreichen, müssen Sie die folgenden sechzehn Schritte absolvieren:

1. Unterstützung des Managements einholen

Dieser Punkt erscheint ziemlich offensichtlich – er wird in der Regel jedoch nicht ernst genug genommen. Nach meiner Erfahrung ist dies der Hauptgrund, warum ISO 27001-Projekte scheitern: Das Management stellt nicht genügend Mitarbeiter oder Gelder für das Projekt bereit. (Lesen Sie Vier wichtige Vorteile der ISO 27001-Umsetzung für Ideen, um dem Management den Fall zu präsentieren.)

2. Behandeln Sie es als Projekt

Wie bereits gesagt wurde, ist die Umsetzung von ISO 27001 ein komplexes Thema, das verschiedene Tätigkeiten und viele Personen umfasst und mehrere Monate (oder mehr als ein Jahr) dauert. Wenn Sie nicht eindeutig definieren, was zu tun ist, wer es tun wird und in welchem Zeitrahmen (d. h. die Durchführung eines Projektmanagements), könnten Sie genauso gut die Aufgabe nie zu Ende bringen.

3. Definieren Sie den Anwendungsbereich

Wenn Sie ein größeres Unternehmen sind, ist es wahrscheinlich sinnvoll, ISO 27001 nur in einem Teil Ihres Unternehmens zu implementieren, um damit Ihr Projektrisiko deutlich zu senken. (Probleme bei der Festlegung des Anwendungsbereichs für ISO 27001)

4. Schreiben Sie eine ISMS-Leitlinie

Die ISMS-Leitlinie ist das Dokument höchster Ebene in Ihrer ISMS – es sollte nicht sehr detailliert sein, aber einige grundlegende Fragen zur Informationssicherheit in Ihrem Unternehmen definieren. Aber was ist ihr Zweck, wenn sie nicht detailliert ist? Der Zweck besteht für das Management darin, zu definieren, was es erreichen will und wie es diesen Vorgang steuern wird. (Informationssicherheitsleitlinie – wie detailliert sollte sie sein?)

5. Festlegen der Methodik für die Risikoeinschätzung.

Die Risikoeinschätzung ist die komplizierteste Aufgabe im ISO 27001 Projekt – der entscheidende Punkt ist, die Regeln zur Ermittlung der organisationseigenen Werte, Schwachstellen, Bedrohungen, Auswirkungen und Wahrscheinlichkeiten zu bestimmen und die zulässige Höhe des Risikos zu definieren. Werden diese Regeln nicht klar definiert, so können Sie sich in einer Situation wiederfinden, in der Sie unbrauchbare Ergebnisse erhalten. (Lesen Sie Tipps zur Risikobewertung für Kleinunternehmen)

6. Durchführen der Risikoeinschätzung und Risikobehandlung

Hier müssen Sie umsetzen, was im vorherigen Schritt definiert wurde – bei großen Unternehmen kann dies mehrere Monate dauern, weshalb Sie einen solchen Aufwand sehr sorgfältig koordinieren sollten. Entscheidend ist, ein umfassendes Bild der Gefahren für die unternehmenseigenen Informationen zu erhalten.

Der Zweck der Risikobehandlung besteht darin, die nicht akzeptablen Risiken zu senken – dies erfolgt üblicherweise dadurch, dass der Einsatz der Maßnahmen aus Anhang A geplant wird.

In diesem Schritt wird Bericht zur Risikoeinschätzung verfasst, der alle Schritte der Risikoeinschätzung und der Risikobehandlung dokumentiert. Ebenso muss eine Genehmigung der Restrisiken eingeholt werden – entweder als separates Dokument oder als Teil der Erklärung zur Anwendbarkeit.

7. Erstellung einer Erklärung zur Anwendbarkeit

Sobald Sie Ihre Risikoeinschätzung abgeschlossen haben, werden Sie genau wissen, welche Maßnahmen aus Anhang A benötigt werden (insgesamt gibt es 133 Maßnahmen, aber sie werden wahrscheinlich nicht alle brauchen). Mit diesem Dokument (häufig „SoA“ genannt) sollen alle Maßnahmen aufgelistet und festgelegt werden, welche Maßnahmen anwendbar sind und welche nicht, die Gründe für diese Entscheidung, die mit den Maßnahmen zu erreichenden Ziele sowie eine Beschreibung, wie die Maßnahmen umgesetzt werden.

Die Erklärung zur Anwendbarkeit ist auch das am besten geeignete Dokument, um die Genehmigung des Managements für die Durchführung des ISMS einzuholen.

8. Plan zur Risikobehandlung erstellen

Gerade als Sie dachten, Sie hätten alle risikobezogenen Dokumente gelöst, kommt das nächste – der Zweck des Risikobehandlungsplans besteht darin, genau zu definieren, wie die Maßnahmen aus dem SoA umgesetzt werden sollen – wer führt sie durch, wann, mit welchem Budget usw. Dieses Dokument ist eigentlich ein Umsetzungsplan, der sich auf Ihre Maßnahmen konzentriert. Ohne ihn wären Sie nicht in der Lage, weitere Schritte im Projekt durchzuführen.

9. Definieren Sie, wie Sie die Wirksamkeit der Maßnahmen messen werden

Eine weitere Aufgabe, die in der Regel unterschätzt wird. Der wichtige Aspekt dabei ist – wenn Sie nicht messen können, was Sie getan haben, wie können Sie dann sicher sein, dass Sie den Zweck erfüllt haben? Aus diesem Grund müssen Sie festlegen, wie Sie die Erfüllung der von Ihnen gesetzten Ziele sowohl für das gesamte ISMS als auch für jede anwendbare Maßnahme in der Erklärung zur Anwendbarkeit messen wollen.

10. Umsetzung der Maßnahmen und verbindliche Verfahren

Leichter gesagt als getan. Hier müssen Sie die vier obligatorischen Verfahren und die anwendbaren Maßnahmen aus Anhang A umsetzen.

Dies ist meist die riskanteste Aufgabe im Projekt. Sie bedeutet normalerweise die Anwendung neuer Technologien, vor allem aber die Umsetzung neuer Verhaltensweisen in Ihrem Unternehmen. Oft werden neue Strategien und Verfahren benötigt (was bedeutet, dass Änderungen erforderlich sind). Menschen stehen Veränderungen üblicherweise ablehnend gegenüber – darum ist die nächste Aufgabe (Schulung und Sensibilisierung) entscheidend für die Vermeidung dieses Risikos.

11. Durchführung der Schulungs- und Sensibilisierungsprogramme

Wenn Sie wollen, dass Ihr Personal alle neuen Richtlinien und Verfahren umsetzt, müssen Sie ihnen zunächst erklären, warum sie notwendig sind, und sie müssen Ihre Mitarbeiter schulen, ihre Aufgaben wie erwartet wahrzunehmen. Das Ausbleiben dieser Tätigkeiten ist die zweithäufigste Ursache für das Scheitern von ISO 27001 Projekten.

12. Betreiben des ISMS

Dies ist der Teil, in dem ISO 27001 zur alltäglichen Routine in Ihrem Unternehmen wird. Das entscheidende Wort hier lautet: „Aufzeichnungen“. Prüfer lieben Aufzeichnungen – ohne Aufzeichnungen wird es sehr schwer für Sie, die Durchführung von Aktivitäten wirklich nachzuweisen. Aber Aufzeichnungen sollten Ihnen in erster Linie helfen. Mit ihrer Hilfe können Sie beobachten, was geschieht. Sie werden tatsächlich mit Sicherheit wissen, ob Ihre Mitarbeiter (und Lieferanten) ihren Aufgaben wie gefordert nachkommen.

13. Überwachen des ISMS

Was passiert in Ihrem ISMS? Wie viele Vorfälle welcher Art gab es bei Ihnen? Werden alle Verfahren richtig ausgeführt?

Hier kommen die Ziele für Ihre Maßnahmen und Messmethodik zusammen – Sie müssen prüfen, ob ihre Ergebnisse den von Ihnen gesteckten Zielen entsprechen. Falls nicht, dann wissen Sie, dass etwas falsch läuft – Sie müssen Korrektur- und/oder Vorbeugungsmaßnahmen ergreifen.

14. Internes Audit

Sehr oft ist Menschen nicht bewusst, dass sie etwas falsch machen (auf der anderen Seite ist es das manchmal schon, aber sie wollen nicht, dass jemand davon erfährt). Aber die Unkenntnis vorhandener oder potenzieller Probleme kann Ihrer Organisation schaden – man muss interne Audits durchführen, um solche Dinge herauszufinden. Der springende Punkt ist nicht, disziplinarische Maßnahmen einzuleiten, sondern Korrektur- und/oder Vorbeugungsmaßnahmen zu ergreifen. (Lesen Sie Probleme bei internen Auditoren nach ISO 27001 und BS 25999-2)

15. Managementprüfung

Das Management muss nicht Ihre Firewall konfigurieren, aber es muss wissen, was im ISMS vor sich geht, d. h. ob jeder seine Aufgaben erfüllt, ob das ISMS die gewünschten Ergebnisse erzielt usw. Auf dieser Grundlage muss das Management einige entscheidende Entscheidungen treffen.

16. Korrektur- und Vorbeugungsmaßnahmen

Der Zweck des Managementsystems besteht darin, dass alle Fehler (sogenannte „Nichtübereinstimmungen“) behoben oder hoffentlich verhindert werden. Daher ist es nach ISO 27001 erforderlich, dass systematisch Korrektur- und Vorbeugungsmaßnahmen durchgeführt werden. Das bedeutet, dass die Ursache einer Nichtübereinstimmung festgestellt sowie anschließend aufgelöst und verifiziert werden muss.

Hoffentlich konnte dieser Artikel klären, was getan werden muss – obwohl ISO 27001 keine leichte Aufgabe darstellt, ist sie nicht unbedingt kompliziert. Sie müssen nur jeden Schritt sorgfältig planen und keine Angst haben – Sie werden Ihr Zertifikat erhalten.

Hier können Sie das Diagramm der ISO 27001 Umsetzung herunterladen. Es zeigt alle diese Schritte zusammen mit den erforderlichen Unterlagen.