12 Tipps für eine schlanke ISO 27001-Einführung
denkfabrik groupcom GmbH

12 Tipps für eine schlanke ISO 27001-Einführung

ID: 1055149
(firmenpresse) - Nach den Beobachtungen der mikado ag wird in jüngster Zeit verstärkt in den Aufbau von ISO/IEC 27001-konformen Informationssicherheits-Managementsystemen (ISMS) investiert. Da Unternehmen und Behörden bei der Projektierung häufig Neuland betreten, hat der IT-Security-Analyst des Beratungshauses, Robert Hellwig, einige praxisbewährte Empfehlungen zusammengestellt. Sie zielen auch auf eine schlanke Realisierung ab:

1. Fürsprecher in der Chefetage gewinnen:
Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird.

2. Die branchenspezifischen Anforderungen berücksichtigen:
In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch – wie etwa im Fall der Energieversorger – vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind.

3. Das ISMS leben und nicht nur ein Zertifikat besitzen wollen:
So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden.

4. Mit einer GAP-Analyse beginnen: Auch wenn sie vielfach noch nicht den ISO/IEC 27001-Ansprüchen genügen, bestehen im Regelfall bereits IT-Sicherheitsmaßnahmen. Darauf gilt es soweit wie möglich aufzubauen, um den Implementierungsaufwand für ein ISO-konformes Informationssicherheits-Managementsystem zu begrenzen. Welche bereits etablierten Verfahren sich nutzen lassen, ermittelt die GAP-Analyse.

5. Unrealistische Projektierungszeiten vermeiden:


So selbstverständlich anspruchsvolle Ziele sein sollten, so kontraproduktiv können sie bei einer zu ehrgeizig angelegten Realisierung werden. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb ist in den zeitlichen Planungen ein großes Augenmerk auf die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren zu richten.

6. Schlanke Realisierungsmethoden nutzen:
Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC 27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen.

7. Augenmaß bei der Komplexität der Sicherheitsrichtlinie:
Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis hat sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie ist, desto geringer ist die Bereitschaft, sich daran zu orientieren.

8. Keine standardisierte Policy aus anderen Quellen nutzen:
Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht.

9. Ausufernde Dokumentationen vermeiden:
Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen.

10. Für ein breites ISMS-Verständnis sorgen:
Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören.

11. Geschäftsleitung in die Schulungen einbeziehen:
Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen.

12. Frühzeitig für eine KVP-Kultur sorgen:
Zu den Grundgedanken der Norm gehört, dass die Sicherheitsmaßnahmen in Kontinuierlichen Verbesserungsprozessen (KVP) weiterentwickelt werden. Dies verlangt über entsprechende organisatorische Vorgehensweisen hinaus ein Selbstverständnis, das nicht von allein entsteht, sondern über Schulungen entwickelt werden muss.
Unternehmensinformation / Kurzprofil:

Mehr über mikado ag
Seit mehr als drei Jahrzehnten beschäftigt sich die mikado mit dem effizienten Management und der kompromisslosen Sicherheit von IT-Strukturen. In dieser Zeit wurden über 2.800 Projekte zur Informationssicherheit realisiert. Möglich wurde dieser jahrzehntelange Markterfolg von mikado durch eine kontinuierlich gelebte Strategie, auf fachlichen Vorsprung zu setzen und sich dabei immer Informationssicherheit aus der Blickrichtung der Kunden zu denken. Eine weitere Besonderheit stellt die Ausrichtung dar, durch Nutzung des eigenen Frameworks miLEAN die Projekte schlanker als üblich zu realiseren. Zum Kundenstamm gehören u. a. Bundesministerien, Volkswagen, Investitionsbank Berlin, Total, KfW Kreditanstalt für Wiederaufbau, Sparkassen und Volksbanken. Firmensitz der mikado ag ist Berlin. mikado ist Mitglied bei BITKOM und dem SIBB.



drucken  als PDF  Was wir aus dem Ende von Wer-kennt-Wen lernen können / Wider den Abgesang: Chancen für deutsche soziale Netzwerke Acht Qualitätskriterien für IT-Servicekataloge
Bereitgestellt von Benutzer: Denkfabrik
Datum: 06.05.2014 - 14:15 Uhr
Sprache: Deutsch
News-ID 1055149
Anzahl Zeichen: 5043

Kontakt-Informationen:
Ansprechpartner: Robin Heinrich
Stadt:

50354 Hürth


Telefon: 02233 6117-75

Kategorie:

Internet


Meldungsart: bitte
Versandart: Veröffentlichung
Freigabedatum: 06.05.2014

Diese Pressemitteilung wurde bisher 407 mal aufgerufen.

Juristisches zu dieser Pressemitteilung

Die Pressemitteilung mit dem Titel:
"12 Tipps für eine schlanke ISO 27001-Einführung"
steht unter der journalistisch-redaktionellen Verantwortung von

denkfabrik groupcom GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

PresseMitteilung löschen Pressemitteilung ändern PresseMitteilung beanstanden
Weitere Mitteilungen von denkfabrik groupcom GmbH
Doppelte E-Commerce-Chance für Großhändler ...
Zwar haben sich Großhändler in ihrer klassischen Funktion typischerweise zwischen den Lieferanten und dem Einzelhandel positioniert. Eine Doppelstrategie im E-Commerce eröffnet ihnen aber die Möglichkeit, auch die Endkunden unmittelbar zu adressieren. „Die höheren Wachstumspotenziale im e

Kundenportal für die Müllentsorgung in Düsseldorf erhält Sicherheits- und Qualitätszertifizierung ...
Über das Kundenportal der AWISTA Gesellschaft für Abfallwirtschaft und Stadtreinigung mbH für die Abfallentsorgung in Düsseldorf stehen den Immobilien-verantwortlichen vielfältige Selfservices zur Verfügung, die über PCs oder mobile Endgeräte genutzt werden können. Damit die Kunden dabei au

Stärkerer Business-Fokus bei den IT-Services durch rollenbasiertes Prozessmodell ...
Zunehmend setzt sich in den IT-Organisationen die Position des Business Service Managers für die Betreuung der Geschäftsbereiche durch. Dies geht mit entscheidenden Veränderungen in den Verantwortlichkeiten einher, da er in seiner koordinierenden und steuernden Funktion einen unmittelbaren Durchg


Weitere Mitteilungen von denkfabrik groupcom GmbH


Aktuelle Mitteilungen aus der Kategorie: Internet
Was wir aus dem Ende von Wer-kennt-Wen lernen können / Wider den Abgesang: Chancen für deutsche soziale Netzwerke ...
Das deutsche Social Web dünnt weiter aus: Wenn am 1. Juni Wer-kennt-Wen vom Netz geht, steht drängender denn je die Frage im Raum: Ist die Zeit der national ausgerichteten Onlineplattformen endgültig vorbei? Alexander Wild, der mit Feierabend.de und Platinnetz die beiden größten deutschspra

Neues Online-Tool von NWB - mit dem N-Kompass wird nachhaltige Unternehmensführung leicht gemacht (FOTO) ...
Der Fachverlag NWB hat mit dem N-Kompass eine Online-Lösung für nachhaltiges Wirtschaften im Mittelstand entwickelt und bringt damit Unternehmen auf Nachhaltigkeitskurs. Der N-Kompass begleitet sie bei der Ermittlung ihrer zentralen Handlungsfelder in den Bereichen Ökologie, Ökonomie und

Online-Hilfe für Kinderwunschpaare: Kostenloser Chat zu Behandlung, Finanzierung und weiteren Möglichkeiten der Unterstützung am 20. Mai 2014 (FOTO) ...
Am 20. Mai 2014 können Interessierte kostenlos an einem zweistündigen Chat zum Thema Kinderwunsch und Fruchtbarkeitsbehandlung teilnehmen. Drei Experten und eine Kinderwunschpatientin klären über Behandlung, Kosten, Erstattungsmöglichkeiten und Stressbewältigung auf. Die Chat-Teilnehm

AVI-SPL ernennt Raj Dani zum Chief Financial Officer ...
AVI-SPL, der weltweit führende Videokommunikationsanbieter, gab heute bekannt, dass das Executive Team mit Raj Dani [http://www.avispl.com/wp-content/uploads/2014/05/Raj-Dani.jpg] als Chief Financial Officer erweitert wurde. "Wir freuen uns, Raj im AVI-SPL Team begrüßen zu können, d


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z