Ganz oder gar nicht
Ganz oder gar nicht Eine halbherzige ISO-27001-Zertifizierung ist gar keine Zertifizierung. Und mag der Aufwand hoch, der Weg manches Mal langwierig und holprig sein: Das Ergebnis lohnt sich – wie ein Praxisbericht zeigt.
- Ganz oder gar nicht
- »Zwangsläufige Inkonsistenzen«
- Niemals fertiggestellt
Wieso tun wir uns so etwas an? Diese Frage stellten sich Management und Mitarbeiter des Münchner Internet-Serviceproviders Spacenet während der Vorbereitung zur Zertifizierung nach der Norm ISO 27001 nicht nur einmal. Denn es war ein beschwerlicher Weg bis zum erfolgreichen Audit: Vom Readyness-Assessment an behauptete sich die Zertifizierung über ein Jahr als bestimmendes und ressourcenverschlingendes Thema im Unternehmen. Sicher liegen auch die Vorteile auf der Hand, die solch ein Zertifikat bringt: ISO 27001 reduziert Risiken und senkt damit die Eintrittswahrscheinlichkeit von Fehlern und Störungen. Auch fragen bestimmte Kundengruppen, etwa aus dem Bereich Gesundheitswesen oder dem Finanzsektor, Sicherheitszertifizierungen bereits gezielt bei Dienstleistern nach. Nicht zuletzt werden aber auch im zertifizierten Unternehmen selbst Abläufe transparenter, Reaktionszeiten kürzer, da die Dokumentation für jeden beschreibt und festlegt, was in welchen Fällen zu tun ist. Der Entschluss zur ISO-Zertifizierung und die Einführung eines Information-Security-Management-Systems (ISMS) geht immer vom Management aus. Doch mit der Entscheidung ist es lange nicht getan, die Geschäftsführung steht mit vielfältigen und weitreichenden Aufgaben in der Pflicht.
– Allem voran muss das Management die Mitarbeiter davon überzeugen, dass die Zertifizierung ein Prozess ist, der dem ganzen Unternehmen nützt und von dem alle profitieren. Erst damit entsteht die Motivation im Team, auch an der Umsetzung aktiv mitzuarbeiten.
– Das Management muss die Gesamtverantwortung für den Zertifizierungsprozess übernehmen und zwar auch über den Zeitpunkt des Audits hinaus.
– Das Management muss dafür sorgen, dass Informationssicherheit integriert, gesteuert und kontinuierlich aufrecht erhalten wird.
– Das Management muss realistische Ziele setzen, um Frust zu vermeiden und damit ein gutes Ergebnis zu gewährleisten. Dabei darf es die Kosten nicht aus den Augen verlieren.
– Das Management muss vor allem selbst Vorbild sein. Das heißt, es darf sich selbst nicht aus den Prozessen herausnehmen, sondern muss sie vorleben.
»Hier hat unsere Geschäftsleitung vorbildliche Arbeit geleistet«, urteilt Anja Scherer, Leiterin strategische Projekte und Mitglied des dreiköpfigen Spacenet-ISO-27001-Projektteams. »Die Kooperationsbereitschaft unserer Kollegen war sehr hoch. Sie waren sich bewusst, dass mit der Zertifizierung etwas bewirkt wird, das uns alle weiter bringt und haben deshalb an einem Strang gezogen«.
