Marc Borgers
18. Aug. 20213 Min.
Man hat Ihnen gesagt, ...
dass die Einführung eines ISMS schnell vollbracht ist?
dass Sie nur ein paar Templates für Richtlinien benötigen?
dass die ISO 27001 fast identisch mit der ISO 9001 ist?
dass ein effektives Risikomanagement schnell umgesetzt werden kann?
dass Sie keine System und/oder Softwareentwicklung im Unternehmen haben?
Dann seien Sie bitte skeptisch! Denn die Einführung eines ISMS, in Anlehnung an die ISO 27001, ist immer mit erheblichen Aufwänden verbunden, die durch viele Faktoren beeinflusst werden. So unterschiedlich die Organisationen und ihre Geschäftsfelder sind, so unterschiedlich fallen auch die Aufwände der Implementation aus. Leider gilt diese Individualität nicht nur für die Einführung, sondern auch für den Betrieb eines ISMS. Trotz vieler Faktoren, lässt sich der Aufwand grob abschätzen, wenn man bestimmte einheitliche Parameter berücksichtigt. Auf diese während meiner Arbeit identifizierten einheitlichen Parameter, werde ich im Folgenden eingehen und Ihnen dabei eine erste Orientierung zur groben Abschätzung des Aufwands zur Verfügung stellen.
Zur besseren Nachvollziehbarkeit möchte ich festhalten, dass die Einführung sowie Aufrechterhaltung eines ISMS immer in Schritten erfolgt und in bestimmte Abschnitte gegliedert werden kann:
Initiale Arbeiten
Regelmäßige Arbeiten
Die Geschäftsführung muss vor der Implementierung des ISMS festlegen, wer die Verantwortung zur Einführung und Aufrechterhaltung der Informationssicherheit im Unternehmen übernimmt, welche Rechte und Pflichten er in dieser Rolle hat sowie wer ihn als Stellvertreter dabei unterstützt. In der Regel wird diese Rolle als Informationssicherheitsbeauftragter (ISB) bezeichnet und außerhalb der IT angesiedelt, da sie die Arbeit der IT kontrolliert. Ferner steht die Informationssicherheit thematisch über dem Datenschutz und der IT-Sicherheit, denn der Datenschutz achtet ausschließlich auf den Schutz von personenbezogenen Daten und die IT-Sicherheit fokussiert sich auf die Sicherheit von IT-Systemen und der dort verarbeiteten Daten, während die Informationssicherheit ganzheitlich alle schützenswerten Werte eines Unternehmens (Informationen, Daten, Prozesse, Systeme, Personen, Produkte, Werkzeuge, Gebäude, Liegenschaften, etc.) adressiert.
Aus diesem Grund sollte der ISB sowohl organisatorisch als auch disziplinarisch direkt der Geschäftsführung unterstehen und bereits vor dem Beginn der Arbeiten über eine oder mehrere anerkannte Qualifikationen im Bereich der Informationssicherheit verfügen bzw. diese erlangen:
ISO 27001 Lead Implementer (PECB, BSI Group, etc.)
Zertifizierter CISO/ISB (TÜV, bitcom, etc.)
Certified Information Security Manager (ISACA)
Da die Einführung eines ISMS auch mit der Erstellung von Leitlinien, Richtlinien, Arbeitsanweisungen, Konzepten oder ähnlichen Vorgaben im Kontext der Informationssicherheit einhergeht, sollte der Verfasser besagter Dokumente immer die folgenden Basisschritte während seiner Arbeit berücksichtigen und beim Wechsel des Themengebietes stets erneut durchführen. Denn erst danach kann eine effiziente und adäquate Erstellung von Vorgaben für die Organisation sichergestellt werden:
Identifizieren der allgemein anerkannten "Best Practices" zum Themengebiet sowie von gesetzlichen, regulatorischen, branchenspezifischen, unternehmensinternen und vertraglichen Anforderungen, die einen Einfluss auf die zu erstellende Vorgabe haben.
Ermittlung der interessierten und betroffenen Parteien sowie des damit verbundenen Geltungsbereichs der zu erstellenden Vorgabe.
Recherche und Erfassung des Ist-Standes zum betreffenden Themengebiet in der Organisation und den betroffenen Geschäftsprozessen.
Zusammen mit meiner Einleitung schließt sich hier der erste Kreis, denn ohne eine ausreichende Qualifikation ist es schwer bzw. nicht möglich die "Best Practices" zu kennen und zu berücksichtigen.
Grundlagen der Schätzung
Da der Aufwand von Faktoren wie der Anzahl der Mitarbeiter, Heterogenität der IT-Landschaft und IT-Prozesse, Anzahl der Standorte sowie dem Anteil der IT-Anwendungen mit Vertraulichkeits- und Hochverfügbarkeitsanforderungen maßgeblich beeinflusst wird, gehe ich bei meiner Schätzung von Folgendem aus:
Homogene IT-Landschaft und IT-Prozesse, keine weiteren Standorte und IT-Anwendungen mit ausschließlich normalen Vertraulichkeits- sowie Hochverfügbarkeitsanforderungen.
Durchschnittliche Risikolandschaft.
Vorlagen zur Erstellung von Richtlinien werden genutzt.
Tools wie eine Risikomanagementsoftware, Assetdatenbankprogramm, SIEM, Computer Based Training Software, etc., werden nicht eingesetzt.
Beratungsdienstleistungen werden nicht genutzt.
Die von mir genannten Tätigkeiten sind bewusst auf eine praktikable Implementierung des ISMS ausgerichtet und gehen deshalb über die Basisanforderungen der Norm hinaus.
Hinweis: Dies ist nur ein grober Überblick der Tätigkeiten!
Hinweise: Dies ist nur ein grober Überblick der Tätigkeiten! Durch den Einsatz von Tools und der Etablierung von einheitlichen Verfahren, können Synergien gehoben werden. Die Geschäftsführung sollte einen Kritikalitätswert festlegen, ab dem Assets erfasst und geschützt werden müssen.
Hinweise: Dies ist nur ein grober Überblick der Tätigkeiten! Durch den Einsatz von Tools und der Etablierung von einheitlichen Verfahren, können Synergien gehoben werden.
Hinweise: Dies ist nur ein grober Überblick der Tätigkeiten! Durch den Einsatz von Tools und der Etablierung von einheitlichen Verfahren, können Synergien gehoben werden.
Kaum ein Unternehmen hat eine homogene IT-Landschaft und IT-Prozesse, nur einen Standort und IT-Anwendungen mit ausschließlich normalen Vertraulichkeits- sowie Hochverfügbarkeitsanforderungen. Damit Sie die meine Schätzung etwas an Ihre Gegebenheiten anpassen können, empfehle ich die Nutzung der folgenden Werte: