Regelmäßige Berichterstattung der obersten Leitung und des ISB an die Mitarbeiter.
Entwicklung einer Roadmap und Fokussierung auf messbare Ergebnisse.
Nutzung vorhandener Technologien und Schaffung effizienter Arbeitsabläufe.
Einbeziehung der Mitarbeiter in die Umsetzung und Mindset-Etablierung.
Eine Integration in die IT-Abteilung kann zu Interessenskonflikten führen, da Entscheidungen im Bereich der Informationssicherheit unabhängig getroffen werden müssen und die getroffenen Maßnahmen nicht vom Umsetzer kontrolliert werden sollten. Zielführender ist es, einen dedizierten Informationssicherheitsbeauftragten mit direkter Berichtsfunktion an die Geschäftsleitung zu etablieren. Die Bestellung eines externen ISB ist zu empfehlen, da so von Anfang an das erforderliche Fachwissen und vor allem die Erfahrung vorhanden sind.
Templates einfach anzupassen, bringt keinen Mehrwert und verursacht zusätzliche Kosten. Vorlagenpakete enthalten oft nur eine generische Inhaltsbeschreibung, ohne auf das Zielunternehmen einzugehen. Sinnvoller ist die Erstellung von Dokumenten in Zusammenarbeit mit Experten (Auditoren) und deren gemeinsame Anpassung an die Bedürfnisse des eigenen Unternehmens. Dadurch wird der Aufwand auf ein notwendiges Maß reduziert — bei maximalen Erfolgsaussichten.
Konstante Sicherheit kostet. Mangelndes Verständnis kostet mehr. Es ist wichtig zu verstehen, was es kostet, nicht in Sicherheit zu investieren. Die klare Antwort mit Blick auf erfolgreiche Cyber-Angriffe: Existenzen.
Niemand fängt bei Null an. Es gibt immer eine Basis, z.B. technische Maßnahmen oder Prozesse. Mensch, Technik und Prozesse müssen an vielen Stellen erst miteinander verbunden werden, um sichtbar zu werden.
Zunächst muss zwischen den Grundkosten für die Beauftragung einer Zertifizierungsstelle — den reinen Zertifizierungskosten — und den internen und externen Personalkosten unterschieden werden. Die Kosten für eine Zertifizierungsstelle sind abhängig von der Größe des Unternehmens, wie z.B. Anzahl der Standorte, Anzahl der Mitarbeiter und Umfang des ISMS. Bei kleinen Unternehmen ist mit Kosten für die Zertifizierungsstelle ab 10.000 Euro zu rechnen. Die Erfahrung zeigt, dass sich die internen Kosten durch den Einsatz qualifizierter externer Experten reduzieren lassen.
Ja, es braucht klare Verantwortlichkeiten im Bereich der Informationssicherheit. Ein ISB muss über entsprechende Fachkenntnisse im Aufbau und Betrieb eines ISMS verfügen, um sich für diese Position zu qualifizieren (Beratung der Geschäftsleitung). Sollten Sie feststellen, dass Sie keine geeigneten Personen im Unternehmen haben, übernehmen wir gerne für Sie die Funktion des externen Informationssicherheitsbeauftragten (eISB).
Ein externer Berater allein kann kein ISMS aufbauen. Es bedarf mindestens eines Ansprechpartners, der die Prozesse im Unternehmen kennt und eines Ansprechpartners in der IT, der über technisches Wissen verfügt und für alle technischen Fragen zur Verfügung steht. Der interne Zeitaufwand richtet sich nach dem Budget und der Verfügbarkeit des externen Beraters. Wir sind bestrebt, einen ausgewählten und exklusiven Kundenstamm zu pflegen, was uns auch eine sehr intensive Betreuung unserer Kunden ermöglicht. So übernehmen wir nach einer obligatorischen IST-Analyse auch die gesamte Dokumentationserstellung einschließlich der Informationsbeschaffung (z.B. Führen von Interviews), fügen uns optimal in Ihr Unternehmen ein und reduzieren so den internen Aufwand auf ein notwendiges Minimum.
An oberster Stelle des ISMS steht eine Leitlinie für Informationssicherheit und Datenschutz, die die strategische Bedeutung des ISMS für das Unternehmen herausstellt und Ziele, Grundsätze und Verantwortlichkeiten klar definiert. Gefolgt von Richtlinien, welche verbindliche Vorgaben für Mitarbeiter enthalten reihen sich nachfolgend auch Konzepte, Prozesse und Arbeitsanweisungen ein. Dabei sollte stets berücksichtigt werden, dass es nicht darum geht, den nächsten Papiertiger zu schaffen, sondern nachhaltige, verbindliche Vorgaben zu etablieren, die an die spezifischen betrieblichen Gegebenheiten (z.B. technologische, personelle und zeitliche Faktoren) angepasst sind.
Der Scope sollte sich an den Anforderungen des Unternehmens orientieren und mit der Geschäftsstrategie in Einklang stehen. In den meisten Fällen ist es ratsam, im Rahmen einer Schutzbedarfsanalyse die schützenswertesten Assets zu identifizieren (Identifikation der “Kronjuwelen”) und die entsprechenden Abhängigkeiten zu bewerten. Ein weiterer gangbarer Weg ist die Definition des Geltungsbereichs auf Basis der Kundenanforderungen (z.B. Einschränkung des Geltungsbereichs auf bestimmte Unternehmensbereiche oder Produkte).
Nein. Im Rahmen unserer Beratung legen wir den Fokus auf bereits vorhandene Anwendungen und Prozesse, um den für das Unternehmen praktikabelsten Umsetzungsweg zu ermitteln und Synergien effizient zu nutzen. Die Bereitstellung und Befüllung einer Anwendung kann — je nach Inhalt — die Anforderungen an die Dokumentation der Norm erfüllen, es ist aber auch zu beachten, dass die Informationen auch allen Mitarbeitern zur Verfügung gestellt werden müssen, was zusätzliche Lizenzen erfordern kann (Kostensteigerung). Die Wahl der geeigneten Werkzeuge ist daher keine unbedeutende Entscheidung, sondern eine, die den Weg zu einer möglichst hohen Akzeptanz im Unternehmen ebnet. Leitfragen für die Entscheidungsfindung sind: Welche Tools benutze ich bereits, Über welche Kommunikationskanäle spreche ich meine Mitarbeiter erfolgreich an, Passt eine neue Anwendung in unseren bestehenden Workflow, Sind auch klassische Wege (Dokumente im Format WORD, PDF, Veröffentlichung der Dokumente über das Intranet) ein gangbarer Weg?