Praxistipps für den Aufbau eines ISMS

Praxistipps für den Aufbau eines ISMS

Erkennen Sie Stolpersteine rechtzeitig

Viele ISMS-Projekte zeigen sich schwieriger als erwartet, dies liegt oft aber an sehr ähnlich gelagerten Problemen. Deshalb hat die TÜV Trust IT typische Stolpersteine zusammengestellt.

Fehlendes Management Commitment:

Nur wenn das Top-Management das ISMS intern aktiv unterstützt, kann es die erforderliche und andauernde Bedeutung bekommen. Die Geschäftsleitung muss nicht nur von Beginn an in die Planung einbezogen werden, sondern das Projekt in seinen verschiedenen Etappen auch aktiv begleiten.

Keine koordinierten Unternehmens- und Sicherheitsziele:

Die Einführung eines ISMS muss die spezifischen Sicherheitsanforderungen des Unternehmens abbilden. Dazu sind von Anfang an die Unternehmensziele zu eruieren. Daraus leiten sich dann die konkreten Sicherheitsziele ab, die den Rahmen für den Aufbau des ISMS bilden.

Unklarer ISMS-Scope:

Der Scope des Managementsystems resultiert aus den zu schützenden Informationen und Unternehmenswerte. Dazu sind alle Daten, inklusive Cloud, mit einzubeziehen.

Zu ungenaue Bestandsaufnahme und GAP-Analyse:

Normalerweise haben auch Firmen ohne ein ISMS schon einige Sicherheitsmassnahmen umgesetzt. Mit einer recht genauen Ist-Aufnahme hinsichtlich des ISMS sind diejenigen Gebiete zu identifizieren, die für eine Zertifizierung nach ISO/IEC 27001 weitere Massnahmen erfordern. Dies hilft dem Unternehmen, die Faktoren Aufwand, Kosten und Zeit bis zur Umsetzung genauer abschätzen zu können.

Kein zielführendes Management der Informationssicherheitsrisiken:

Managing Informationssicherheitsrisiken ist ein elementarer Bestandteil des ISMS. Hierzu ist eine angemessene und korrekt formulierte Methode zu entwickeln und umzusetzen.

Mangelnde Ressourcen:

Mitarbeitenden werden oft Aufgaben zugeordnet, ohne deren Mehrbelastung und fachliche Qualifikation in Betracht zu ziehen. Das heisst, dass die personellen Verantwortlichkeiten definiert werden müssen und durch realistische Ressourcenplanung und Ausbildung zu ergänzen sind.

Massnahmenumsetzung zu detailliert:

Der Normanhang A dient der Massnahmenumsetzung und enthält 114 Referenzmassnahmen aus verschiedenen Bereichen. Wer alle Massnahmen zu 100 Prozent umsetzen will, verliert sich schnell im Detaildschungel. Massnahmen sind immer mit einer angemessenen Umsetzungstiefe zu definieren.

Dokumentation zu aufwendig:

Wenn sich das Dokumentenmanagement als zu aufwendig erweist, werden die administrativen Ressourcen unnötig belastet. Besser ist es, auf bestehende Vorlagen zurückzugreifen.

Keine Awareness-Programme:

Das ISMS kann nur gut funktionieren, wenn es von allen involvierten Parteien akzeptiert und gelebt wird. Dies erfordert Awareness-Massnahmen zur aktiven Mitwirkung. Angesprochen sind hier nicht nur die Mitarbeitenden, sondern im Sinne des Top-Down-Ansatz alle Führungskräfte.

Unzureichende Kennzahlen:

Die Wirksamkeit des ISMS muss mit geeigneten Kennzahlen gemessen werden. Wer dieses Thema ignoriert oder als nebensächlich betrachtet, wird unzureichende oder falsche Kennzahlen benutzen. Dies hat zur Konsequenz, dass falsche Sicherheitsmassnahmen beschlossen werden, was wiederum den kontinuierlichen Verbesserungsprozess verhindert.

Itseccity.de; TÜV Trust IT, ra; 19.05.2017
http://www.itseccity.de/markt/tipps--hinweise/tuev-trust-it190517.html

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung