ISO27001: Nach dem Audit ist vor dem Audit

Das Zertifizierungsaudit ist überstanden, vor einer Weile sind Report und Urkunde angekommen, die bestätigen, dass man ein funktionierendes Informationssicherheitsmanagement System besitzt (kurz „ISMS“). Nun lehnen sich viele zurück „endlich geschafft, nun können wir wieder arbeiten.“ Dieser vermeintlich harmlose Satz birgt allerdings jede Menge Sprengstoff in sich.

Erst einmal ist der Satz ein Zeichen das Informationssicherheit und all die Prozesse, die diese sicherstellen sollen, noch nicht in den täglichen Prozessen angekommen sind. Ziel ist, das die Anforderungen nicht als extra Aufgabe wahrgenommen werden, sondern Teil der täglichen Arbeit sind. Im Rahmen der Prozesse sind Kontrollen definiert, Tätigkeiten, die immer wieder anfallen. Mal jährlich, aber auch wöchentlich oder täglich. Wenn man diese alte Extraaufgabe ansieht, schiebt man diese gerne auf „man hat ja schließlich einen Job zu tun“. Und ähnlich wie Weihnachten immer plötzlich vor der Haustür steht, ist das Interne Audit oder eben das Überwachungsaudit auf einmal nur noch 4 Wochen entfernt.

Dann bricht Hektik aus: Listen werden gepflegt, Richtlinien schnell noch einmal überarbeitet und freigegeben, Dokumentation zusammengesammelt und nachdokumentiert. Über das Jahr verteilt waren es nur kleinere Aufgaben. Doch komprimiert wird nun aus den kleinen Versäumnissen ein Berg. Gleichzeitig stecken die wichtigsten Mitarbeiter in einem großen  Kundenprojekt, das jetzt  Verzug bekommt, der Kollege ist auch krank und ganz zum Schluss stellt man fest, dass etwas besonders Kritisches doch vergessen wurde und das kommende Audit mal wieder eine Wackelpartie wird. Irgendwie wird das Audit doch überstanden, der Report hat mehr Nebenabweichungen als man seinem Vorgesetzten erklären mag - und als Krönung knallt es kurz darauf im Kundenprojekt, weil die meisten Ressourcen die  letzten vier Wochen die ISO 27001 Re-Zertifizierung hatten unterstützen müssen….

Niemand liebt das oben beschriebene Szenario. Aber trotzdem geschehen in vielen Unternehmen ähnliche Szenarien regelmäßig. Aber was kann dagegen unternommen werden?

Nur vom einzelnen Mitarbeiter zu verlangen sein Mindset zu ändern ist etwas zu kurz gegriffen – denn das einleitende Statement ist auch im Management vorzufinden. Das wichtigste ist zu realisieren, dass die meisten Menschen keine „Early Adopter“ sind. Was bei Innovationen die Regel ist – man siehe sich den Innovationszyklus von Rogers an, wo weniger als 20 % Innovatoren und frühzeitige Anwender sind -  ist ähnlich bei organisatorischen Änderungen. Die Menschen brauchen die Sicherheit die Rituale bieten. Ändert man diese, dauert es bis sich der neue Prozess als das „neue Normal“ etabliert. Allerdings kann man diesen Prozess unterstützen:

  • Der direkte Vorgesetzte sollte die ISO 27001 bezogenen Aufgaben als normaler Teil des Tagesgeschäfts begreifen und diese im Rahmen der der Ressourcenplanung klar mit einbeziehen. Dementsprechend sollte im Gespräch mit dem Mitarbeiter auch regelmäßig der Stand der Maßnahmen eruiert werden.
  • Der Informationssicherheitsbeauftrage sollte immer wieder Awareness schaffen, gerne auch im direkten Gespräch mit den Prozessverantwortlichen, um Fragen zu beantworten und  um immer wieder zu erläutern warum Informationssicherheit  so wichtig ist. Wenn eine Aufgabe zu abstrakt bleibt und der Mitarbeiter diese nicht einordnen kann, sinkt die Bereitschaft.
  • Gerade bei neuen Prozessen sollte am Anfang stärker überwacht werden, ob der Prozess und die daraus zu schaffenden Nachweise umgesetzt werden wie geplant. Wenn der Prozess sicher läuft, kann die Überwachung wieder vermindert werden. Ziel ist es frühzeitig zu erkennen, wenn es Schwierigkeiten bei der Umsetzung gibt.

Aber: nicht immer liegt es nur daran,  dass Themen „neu“ sind. Die Arbeitslast kann tatsächlich zu hoch sein. Wer trotz guten Zeitmanagements und schneller Arbeitsweise regelmäßig unbezahlte Überstunden ableistet um das Arbeitspensum zu bewältigen, kann nicht unbegrenzt noch zusätzliche Aufgaben bearbeiten. Hier sollte die Aufgabenverteilung und die Personalausstattung hinterfragt werden.

Wenn ISO 27001 bezogene Richtlinien nicht oder nur in Teilen umgesetzt werden, kann es daran liegen, dass sie für die Prozessbeteiligten nur schlecht umsetzbar sind. In diesem Fall gilt es zu analysieren, in welcher Form die die Vorgänge verbessert werden können, um sie praktikabel zu gestalten. Wichtiger Input sind die Vorschläge der Betroffenen selbst, um ein funktionales Design zu finden. So muss für eine Begehung nicht zwingend ein seitenlanges Protokoll angefertigt werden; eine vorgefertigte Checkliste tut es auch.

Auch wenn die o.g. Beispiele nicht zutreffen, kann es passieren das Aufgaben nicht erledigt werden. Aus dem simplen Grund, das in der Hektik des Tagesgeschäfts Aufgaben vergessen wurden. Ein guter Ausweg ist es sich das ISO 27001-„Jahr“ als Projekt vorzustellen. Im Projektmanagement werden einzelne Aufgaben erfasst, Aufgabenpakete geschnürt und mit geplantem Datum und Verantwortlichen versehen.

Übertragen Sie dies auf die operativen Aufgaben der ISO 27001. Analysieren Sie die  ISO 27001 Richtlinien und tragen die einzelnen Aufgaben zusammen. In der Form ist man frei – ob Excel oder ein Tool ist jedem selbst überlassen. In der Norm nicht beschrieben, aber gerne als „ISMS Kalender“ bezeichnet, ist das eine einfache und leicht umzusetzende Möglichkeit zu überwachen, dass alle Aufgaben fristgerecht abgearbeitet werden.

Wenn Sie Interesse an einem Template für einen ISMS Kalender (Excel) haben, kontaktieren Sie uns doch einfach unter info@compliance-net.com.