Jessica Doering
11. September 2024
~
4
minutes reading time
Missverständnisse und Vorteile von ISO 27001
Hallo Frau ISO 27001, lange nicht mehr gesehen, immer wieder eine Freude! Wir haben in den letzten Wochen viel über Ihre große ISO 27k-Familie gesprochen, aber was beschäftigt Sie im Moment? Die Gerüchte, die im Umlauf sind? - "JA, bitte helfen Sie mir, die Dinge aufzuklären und vielleicht meine Vorteile wieder ans Licht zu bringen?" - Aber sicher, meine Liebe, fangen wir an!
Immer wieder tauchen Missverständnisse über ISO 27001 auf. Manche halten sie für einen Aufkleber auf der Gasleitung im Keller ihres Wohnhauses (was übrigens eigentlich ein Label des Deutschen Instituts für Normung (DIN) ist, aber isotherm ist so nah dran, okay...).
Andere denken, dass es sich bei diesen ISO-Zertifizierungen eher um einen elitären Familienclan handelt, der von einigen Regierungen unterstützt wird und damit Geld verdienen will. Dabei ist der zweite Ansatz gar nicht mal sooo falsch. Nur dass dieser ominöse elitäre Clan kein Geld verdient, sondern seine zertifizierten Unternehmen. Klingt sehr humanitär und zukunftsorientiert!
Aber lassen Sie uns zunächst einige echte Missverständnisse über die ISO 27001-Zertifizierung ausräumen!
Dieser Blog ist eigentlich für die verantwortlichen Mitarbeiter gedacht, denen die Ehre zuteil wurde, dieses Unternehmensprojekt ins Leben zu rufen! Aber da jeder in einem Unternehmen an der Erlangung dieser Zertifizierung beteiligt ist, könnten diese Missverständnisse für alle von Interesse sein!
1. Nur die IT-Abteilung ist zuständig
Die Informationssicherheit ist nur auf die IT-Abteilung beschränkt. NEIN! Schließlich ist jedes "IT-Problem" ihre Schuld, oder? Nicht so schnell. Wie in anderen Blogs erwähnt, ist auch die Aufmerksamkeit der obersten Führungsebene besonders wichtig. Ja, sogar obligatorisch! Wenn sich ein "Problem" in eine Katastrophe verwandelt, sollte das erste "Opfer" - der CEO - seinen zweiten Wohnsitz fürchten.
Mit anderen Worten: Steht das Unternehmen wegen der Informationssicherheit auf dem Spiel oder gibt es grundsätzliche Risiken, dann erweitert sich der Kreis der verantwortlichen Personen entsprechend! Übrigens, die ISO 27001 selbst fordert dies! Keine Spielereien, das ist kein Nebenschauplatz, der von einer "Thema-passenden" Unternehmenseinheit ins Ziel geschleppt werden soll. Das Top-Management muss eingebunden werden!
Dass die Informationssicherheit letztlich sogar ein treibender Faktor bei Geschäftsentscheidungen ist, zeigt die steigende Zahl der Kunden. Die Sicherheit von Kundendaten hat Hochkonjunktur. Wer will seine Daten nicht gesichert wissen? Und welches Management freut sich nicht über steigende Umsätze :)!
Und natürlich müssen sich nicht nur die "Projektverantwortlichen" den Regeln und Vorbereitungen einer ISO-Zertifizierung unterwerfen! Auch die vermeintlichen "Wir reden nur mit den Kunden"-Abteilungen! Die Vertriebsmitarbeiterin befasst sich nicht unbedingt mit Firewall-Regeln oder diskutiert mit der Marketing-Kollegin im wöchentlichen Telefonat über Code-Implementierungsmethoden. Diese beiden haben ganz andere Sorgen! Trotzdem müssen auch sie ihren Beitrag leisten (z.B. Security Awareness Training, Einhaltung von Policies etc.). Und da hier Namen und Zahlen durch die Luft fliegen, ist das nur logisch!
Stichwort Politik...
2. ISO 27001 besteht nur aus Tonnen von Richtlinien
Bleiben wir noch einen Moment bei den Marketing- und Vertriebsteams. Diese Teams sind ein gutes Beispiel, da sie eigentlich direkt auf die Geschäftsakquise ausgerichtet sind und daher auch ein Risiko für zu viel Informationsaustausch darstellen. Deshalb muss der ISO 27001-Verantwortliche hier aktiv Druck ausüben, wenn alles andere wichtiger zu werden scheint.
Schließlich gibt es Richtlinien, die gelesen und befolgt werden müssen, sonst sieht es am Ende so aus, als gäbe es überhaupt keine Richtlinien.
"Ja gut, mach dein Ding in der IT, wir müssen jetzt mit Kunden interagieren, keine Zeit, deine Checkliste zu lesen oder so. Ciaoiii. Wo ist mein Flat White? Ich brauche noch etwas Koffein, bevor wir uns im schicken Büro des potenziellen Kunden treffen! Das ist doch wichtiger für das Unternehmen, oder? Die Produkte zu verkaufen und eine gute Beziehung aufzubauen!"
Nun, genau das ist der Punkt! Die Norm schützt die internen Daten und Informationen, aber auch die der Kunden (und der Lieferanten dazwischen)! Und ja, der Kunde ist König oder Königin und braucht ab und zu einen warmen Händedruck, um zu wissen, dass er in guten Händen ist, ebenso wie seine Daten und Informationen! Deshalb ist es wichtig, dass sich alle Mitarbeiter die Zeit nehmen, um zum Erfolg der ISO 27001-Zertifizierung beizutragen.
Es scheint bereits so, als ob die ISO 27001-Norm für die Dokumentation brennen würde. Sie ist DAS Lebenselixier für diese internationale, leistungsstarke Norm!
Aber ISO 27001 ist nicht nur ein Satz von Richtlinien, welche als komplettes Papier-Paket an ein Büro geschickt wird, um ausgefüllt zu werden.
Die Richtlinien sind für jedes Unternehmen maßgeschneidert, da sie an die aktuellen Prozesse angepasst werden müssen. Fehlende Informationssicherheitsprozesse müssen ausgefüllt und vor allem von den Verantwortlichen abgezeichnet und dann an die übrigen betroffenen Mitarbeiter weitergegeben werden. Letztere müssen sich mit den Richtlinien auseinandersetzen: sie lesen, akzeptieren und vor allem einhalten! Nur dann können Sie sich für den Rest Ihres Lebens einen Flat White mit Hafermilch und einem Schuss Vanille leisten! Mittwochs vielleicht Haselnuss...
Andernfalls könnte man (in der analogen Welt denkend) den Papierstapel genauso gut gleich in den Müll werfen. Hier kommt Secfix ins Spiel: umweltfreundlich und intuitiv, kein Papiermüll! Für Mitarbeiter wird das Lesen und Akzeptieren von Policen auf unserer Plattform attraktiver! Sie haben einfach ein besseres Nutzererlebnis und vor allem sehen sie, dass die Dokumente wichtig sind, "sie sind so schön auf meiner Mitarbeiterseite dargestellt. Endlich habe ich selbst einen Überblick! :)"
Übrigens werden hier keine Unternehmensabteilungen verhöhnt, geschweige denn lächerlich gemacht.
Aber es ist einfach typisch, dass Abteilungen, die nicht direkt an der Umsetzung der ISO 27001-Zertifizierung beteiligt sind, sich nicht ausreichend bewusst sind, was diese dem Unternehmen bringen und vor allem schützen kann!
Aber sie sollten dieses Bewusstsein dringend mit Leben füllen! Denn eine ISO 27001-Zertifizierung öffnet neue Türen für das gesamte Unternehmen und gibt vor allem den vertriebsorientierten Abteilungen zusätzlichen Schwung! Und wenn diese Zertifizierung erreicht (und aufrechterhalten) wird, dann können sich Marketing und Vertrieb gerne darüber beklagen, dass sie mehr Personal brauchen, weil mehr neue Kunden kommen! Wunderbar!
Also: Legen Sie keine Papierstapel an! Die in Ordnern, in Aktenschränken verstauben, im Keller landen. Zumindest bis zum nächsten Jahr... Und dann... na ja... "Wie war der Stand der Dinge jetzt? Holt mal jemand die Akten aus dem Keller!" Armer IT-Mitarbeiter, der erst seit zwei Monaten im Unternehmen ist und sich nun in das laufende Projekt stürzen soll.
Machen Sie Schluss mit dem Schlamassel! Vereinbaren Sie einen Termin mit uns und lassen Sie sich von den massiven Vorteilen einer automatisierten Lösung von Secfix überzeugen.
3. Eine Organisation muss alle in Anhang A aufgeführten Kontrollen durchführen, um eine Zertifizierung zu erhalten
Um die Dinge klarzustellen! Eine Organisation muss nicht jede einzelne Kontrolle implementiert haben. Nicht jedes Haus hat ein Gästezimmer oder einen Weinkeller, in dem die Temperatur sowohl für die Weinvorräte als auch für die seltsame Tante geregelt werden muss! Eigentlich könnte man beides an einem Ort unterbringen. Aber dann wäre die Sicherheit der alkoholischen Spezialitäten nicht mehr gewährleistet.
Im Grunde geht es bei der "Grande Dame" ISO 27001 darum, zu beweisen, dass Organisationen ihr Engagement für eine kontinuierliche Verbesserung der Sicherheit unter Beweis stellen und damit, wie in früheren Blogs bereits mehrfach erwähnt, VERTRAUEN aufbauen.
Dies ist ihr größtes Geschäftsziel! Denn ein wachsendes Geschäft ist das Ergebnis davon!
Zum Beispiel: "Dies ist ein Unternehmen, das mit Daten und Informationen sicher umgeht und dies kontinuierlich und gewissenhaft tut!" Punkt. Dass die Unternehmen mit Omas (ISO 27001) Wunsch auch noch Geld verdienen, macht sie nur noch glücklicher!
Sie war nie eine Universitätsprofessorin, die wild darauf war, dass jeder jedes Detail wissen muss und alles Wissen in EINEM Gehirn untergebracht werden muss. Also nein, auf keinen Fall müssen alle Kontrollen gemacht werden, wenn sie nicht für den Umfang benötigt werden!
Im Umkehrschluss bedeutet dies aber auch, dass Sie nicht zertifiziert werden können, wenn Sie zahlreiche größere Kontrolllücken aufweisen.
Das Gleiche gilt für die Aufrechterhaltung der Zertifizierung - wenn während des jährlichen Audits plötzlich Nichtkonformitäten auftauchen, wird auch die Zertifizierung bröckeln, wenn danach keine Korrekturmaßnahmen ergriffen werden. 👉 ISO 27005
Sie verwenden also die Tochter der ISO 27001, auch bekannt als ISO 27002. Sie bietet einen Leitfaden und enthält auch die erforderlichen Kontrollen in ihrem Anhang A. Sie bietet also bewährte Verfahren für die Auswahl und Umsetzung der in ISO 27001 aufgeführten Kontrollen.
Bevor ein externer Auditor um die Ecke kommt, sollten Aktionspläne (unter Verwendung von ISO 27002 und ISO 27005) erstellt und Vorarbeiten geleistet werden. Secfix hilft Ihnen dabei gerne!
Erinnern wir uns gleich an den armen IT-Mitarbeiter, der sich jetzt mit altem Papierkram herumschlagen muss. Das schreit geradezu nach einer Automatisierung dieses ISO 27001-Zertifizierungsprozesses, der in mehr als einer Hinsicht so lohnend ist.
Mit ISO 27001 können Sie Ihr Informationssicherheitsmanagementsystem von Grund auf neu aufbauen! Auf diese Weise können Sie Geschäfts- und Managementrisiken verringern, das Vertrauen Ihrer potenziellen Kunden gewinnen, diese Geschäfte abschließen, Ihren Umsatz steigern und Ihr Unternehmen ausbauen. Und nicht zu vergessen, dass Sie gleichzeitig auch Kosten sparen.
Dies ist nicht nur eine Win-Win-Situation, sondern DER Jackpot!
