Erfahrungen mit ISO27001 in KMU
Wenn kleine mittelständische Unternehmen (KMU) sich entschließen ein Informationssicherheitsmanagementsystem (ISMS) nach ISO27001 einzuführen, ist das keine einfache Angelegenheit. Das zusammen stellen der ISMS Unterlagen gelingt nur schwer ohne Fachwissen. Es reicht nicht eines der gängigen ISO27001 Praxisbücher aus dem Buchhandel zu kaufen. Ein Buch kann nicht das komplexe Themengebiet so gut erklären. Hier sind Schulungen einfach besser. Dennoch ergänzen sich Fachbuch und Training bestens. An dieser Stelle aber erhalten Sie Erfahrungen aus dem Einsatz von ISO27001 in KMUs. Sie zeigen wie kleine Kapitalgesellschaften erfolgreich zum ISO27001 Zertifikat gelangen. Nach der Zertifizierung müssen aber die zertifizierten Betriebe das Regelwerk täglich in die Praxis umsetzen.
Implementierung von ISO27001
Die Einführung eines neuen Management Systems erforderte mehrere Veränderungen in der Organisation. Mitarbeiter müssen auf diese Veränderungen vorbereitet werden. So können auch technologische Umstellungen erfolgreich und nachhaltig umgesetzt werden.
Die Vorbereitungsphase für ISO27001
Bei der Vorbereitung zur Zertifizierung müssen Unternehmen mehrere Checklisten einsetzen. So vermeidet man wichtige Dokumente oder Aspekte zu übersehen. Wenn man mangelhaft vorbereitete Unterlagen bei der Zertifizierungsstelle einreicht, kann das Audit abgelehnt werden.
Erstellung der ISMS Dokumente
Mit Hilfe der Checklisten kann man Schritt für Schritt die benötigten Dokumente erstellen. Problematisch ist aber die Liste der wichtigen Assets. Hier kommt man für gewöhnlich ganz schön ins strudeln. Langes nachdenken führt langsam zu den einzelnen Positionen. Dabei muss man die Risiken und die Verantwortlichkeiten zuordnen.
Mitarbeiter mit einbeziehen
Wenn man ISO27001 in die Betriebsabläufe integrieren möchte, kann man die Mitarbeiter nicht vor den Kopf stoßen, in dem man alle ihre gewohnten Abläufe auf den Kopf stellt. Am besten bezieht man alle Mitarbeiter einer bestimmten Arbeitsgruppe mit ein. Dadurch regt sich weniger Widerstand und die Abläufe können um ISO 27001 relevante Aspekte ergänzt werden.
Netzwerke und Geräte besser schützen
Es reicht nicht eine Dokumentensammlung zu erstellen und abzulegen. Informationssicherheit benötigt die Einbeziehung der Mitarbeiter und Verbesserung der Infrastruktur zum Schutz der gefährdeten Daten. In manchen Fällen muss man von veralteter Ausrüstung trennen. Man kann nicht in 2024 immer noch Computer mit Windows 95 betreiben. Gleichzeitig sollte man seine Netzwerksegmentierung überdenken. Ein aktualisiertes Netzwerkdiagramm ist leicht zu erstellen. Man braucht nur Stift und Papier. Schon kann man mit den Kollegen diskutieren, ob die Struktur noch verbessert werden kann. Es müssen nicht immer hohe Geldbeträge in Technik investiert werden, um die Informationssicherheit zu verbessern.
Informationssicherheit als Teil des Business Models berücksichtigen
Im Zeitalter der digitalen Transformation müssen mittelständische Betriebe ihre Abläufe und Aktivitäten modernisieren. Das bedeutet aber auch, dass sie Informationssicherheit als selbstverständlichen Teil ihres Geschäftsmodels annehmen.
Erkenntnisse aus der Einführung von ISO27001 in einem KMU
Viele Unternehmen denken, dass ISO27001 ein Projekt der IT Abteilung sein sollte. Da liegt man falsch. Informationssicherheit muss bei der Geschäftsleitung – also ganz weit oben in der Hierarchie – angesiedelt werden. Das bedeutet aber nicht, dass der Geschäftsführer täglich seine Mailbox mit ISO 27001 Themen überfüllt vorfindet. Mittelständische Unternehmen und Konzerne beauftragen einen geeigneten Mitarbeiter mit der Durchführung des Projekts. dieser fungiert wie ein Projektleiter. In einem KMU gibt es nicht so viele Mitarbeiter, die ernsthaft die Zeit haben sich mit der Erstellung der vielen Dokumente zu beschäftigen.
Deshalb ist hier der pragmatische Ansatz einen Berater mit der Dokumentationserstellung zu beauftragen. So spart man sich viel Frust und so manche schlaflose Nacht vor einem Audit. Wer selbst versucht die Unterlagen von Grund auf aufzubauen wird viel länger benötigen. Das ist kostbare Zeit, die eigentlich im Unternehmen anderweitig besser genutzt werden sollte.