Zunächst muss zwi­schen den Grund­kos­ten für die Beauf­tra­gung einer Zer­ti­fi­zie­rungs­stel­le — den rei­nen Zer­ti­fi­zie­rungs­kos­ten — und den inter­nen und exter­nen Per­so­nal­kos­ten unter­schie­den wer­den. Die Kos­ten für eine Zer­ti­fi­zie­rungs­stel­le sind abhän­gig von der Grö­ße des Unter­neh­mens, wie z.B. Anzahl der Stand­or­te, Anzahl der Mit­ar­bei­ter und Umfang des ISMS. Bei klei­nen Unter­neh­men ist mit Kos­ten für die Zer­ti­fi­zie­rungs­stel­le ab 10.000 Euro zu rech­nen. Die Erfah­rung zeigt, dass sich die inter­nen Kos­ten durch den Ein­satz qua­li­fi­zier­ter exter­ner Exper­ten redu­zie­ren las­sen.

Ja, es braucht kla­re Ver­ant­wort­lich­kei­ten im Bereich der Infor­ma­ti­ons­si­cher­heit. Ein ISB muss über ent­spre­chen­de Fach­kennt­nis­se im Auf­bau und Betrieb eines ISMS ver­fü­gen, um sich für die­se Posi­ti­on zu qua­li­fi­zie­ren (Bera­tung der Geschäfts­lei­tung). Soll­ten Sie fest­stel­len, dass Sie kei­ne geeig­ne­ten Per­so­nen im Unter­neh­men haben, über­neh­men wir ger­ne für Sie die Funk­ti­on des exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (eISB).

Ein exter­ner Bera­ter allein kann kein ISMS auf­bau­en. Es bedarf min­des­tens eines Ansprech­part­ners, der die Pro­zes­se im Unter­neh­men kennt und eines Ansprech­part­ners in der IT, der über tech­ni­sches Wis­sen ver­fügt und für alle tech­ni­schen Fra­gen zur Ver­fü­gung steht. Der inter­ne Zeit­auf­wand rich­tet sich nach dem Bud­get und der Ver­füg­bar­keit des exter­nen Bera­ters. Wir sind bestrebt, einen aus­ge­wähl­ten und exklu­si­ven Kun­den­stamm zu pfle­gen, was uns auch eine sehr inten­si­ve Betreu­ung unse­rer Kun­den ermög­licht. So über­neh­men wir nach einer obli­ga­to­ri­schen IST-Ana­ly­se auch die gesam­te Doku­men­ta­ti­ons­er­stel­lung ein­schließ­lich der Infor­ma­ti­ons­be­schaf­fung (z.B. Füh­ren von Inter­views), fügen uns opti­mal in Ihr Unter­neh­men ein und redu­zie­ren so den inter­nen Auf­wand auf ein not­wen­di­ges Mini­mum.

An obers­ter Stel­le des ISMS steht eine Leit­li­nie für Infor­ma­ti­ons­si­cher­heit und Daten­schutz, die die stra­te­gi­sche Bedeu­tung des ISMS für das Unter­neh­men her­aus­stellt und Zie­le, Grund­sät­ze und Ver­ant­wort­lich­kei­ten klar defi­niert. Gefolgt von Richt­li­ni­en, wel­che ver­bind­li­che Vor­ga­ben für Mit­ar­bei­ter ent­hal­ten rei­hen sich nach­fol­gend auch Kon­zep­te, Pro­zes­se und Arbeits­an­wei­sun­gen ein. Dabei soll­te stets berück­sich­tigt wer­den, dass es nicht dar­um geht, den nächs­ten Papier­ti­ger zu schaf­fen, son­dern nach­hal­ti­ge, ver­bind­li­che Vor­ga­ben zu eta­blie­ren, die an die spe­zi­fi­schen betrieb­li­chen Gege­ben­hei­ten (z.B. tech­no­lo­gi­sche, per­so­nel­le und zeit­li­che Fak­to­ren) ange­passt sind.

Der Scope soll­te sich an den Anfor­de­run­gen des Unter­neh­mens ori­en­tie­ren und mit der Geschäfts­stra­te­gie in Ein­klang ste­hen. In den meis­ten Fäl­len ist es rat­sam, im Rah­men einer Schutz­be­darfs­ana­ly­se die schüt­zens­wer­tes­ten Assets zu iden­ti­fi­zie­ren (Iden­ti­fi­ka­ti­on der “Kron­ju­we­len”) und die ent­spre­chen­den Abhän­gig­kei­ten zu bewer­ten. Ein wei­te­rer gang­ba­rer Weg ist die Defi­ni­ti­on des Gel­tungs­be­reichs auf Basis der Kun­den­an­for­de­run­gen (z.B. Ein­schrän­kung des Gel­tungs­be­reichs auf bestimm­te Unter­neh­mens­be­rei­che oder Pro­duk­te).

Nein. Im Rah­men unse­rer Bera­tung legen wir den Fokus auf bereits vor­han­de­ne Anwen­dun­gen und Pro­zes­se, um den für das Unter­neh­men prak­ti­ka­bels­ten Umset­zungs­weg zu ermit­teln und Syn­er­gien effi­zi­ent zu nut­zen. Die Bereit­stel­lung und Befül­lung einer Anwen­dung kann — je nach Inhalt — die Anfor­de­run­gen an die Doku­men­ta­ti­on der Norm erfül­len, es ist aber auch zu beach­ten, dass die Infor­ma­tio­nen auch allen Mit­ar­bei­tern zur Ver­fü­gung gestellt wer­den müs­sen, was zusätz­li­che Lizen­zen erfor­dern kann (Kos­ten­stei­ge­rung). Die Wahl der geeig­ne­ten Werk­zeu­ge ist daher kei­ne unbe­deu­ten­de Ent­schei­dung, son­dern eine, die den Weg zu einer mög­lichst hohen Akzep­tanz im Unter­neh­men ebnet. Leit­fra­gen für die Ent­schei­dungs­fin­dung sind: Wel­che Tools benut­ze ich bereits, Über wel­che Kom­mu­ni­ka­ti­ons­ka­nä­le spre­che ich mei­ne Mit­ar­bei­ter erfolg­reich an, Passt eine neue Anwen­dung in unse­ren bestehen­den Work­flow, Sind auch klas­si­sche Wege (Doku­men­te im For­mat WORD, PDF, Ver­öf­fent­li­chung der Doku­men­te über das Intra­net) ein gang­ba­rer Weg?