Mehr und mehr Unternehmen führen ein Informationssicherheitsmanagementsystem (ISMS) ein, um die Informationssicherheit zu erhöhen. Die Motive hierfür sind vielfältig und unterschiedlich. Wir haben Ihnen bereits einige Tipps geben können, wie die Implementierung schnell, effizient und gut funktionierend erfolgen kann.
Der Inhalt im Überblick
Kontinuierlicher Verbesserungsprozess
Ein ISMS ist kein einmaliges Ereignis, sondern ein permanenter Prozess. Um eine kontinuierliche Verbesserung der Prozesse zu erreichen, empfiehlt sich die PDCA-Methode (Plan-Do-Check-Act): Planen, Durchführen, Prüfen, Verbessern. Diese Methode ist nicht mehr explizit durch die ISO 27001 vorgeschrieben, wird jedoch von vielen Unternehmen zu Recht als gängige Methode angewandt. Doch wie funktioniert diese Prozessoptimierung in der Praxis?
PLAN-Do-Check-Act: 1. Planen
Bereits vor der eigentlichen Planungsphase werden wichtige Parameter festgelegt. Diese Phase ist sehr umfangreich und es empfiehlt sich, ausreichend Zeit und Ressourcen zu verwenden. Eine konsequent durchdachte Einstiegs- und Planungsphase hat starken Einfluss auf die nachgelagerten Prozesse. Sie bildet die Grundlage und beinhaltet den eigentlichen Aufbau des Verbesserungsprozesses. Daher sollten die verwendeten Ressourcen hier eine gute Investition sein, um die angestrebten Ziele und Maßnahmen zu definieren und letztlich in den weiteren Phasen davon zu profitieren. Die Einbeziehung aller relevanten Funktionsbereiche des Unternehmens ist dabei ein wichtiger Erfolgsfaktor, der nicht unterschätzt werden sollte.
Plan-DO-Check-Act: 2. Durchführen
Die Bedeutung dieser Phase liest sich sehr einfach (durchführen), ist jedoch in der Praxis oftmals eine hohe Hürde und mit viel Aufwand verbunden. Dies ist durch eine exzellente Planungsphase zu vermeiden, bzw. zu reduzieren. Die Verwirklichung der erarbeiteten Maßnahmen sollte dann auch pragmatisch gestaltet werden, salopp formuliert: Einfach mal machen und klein anfangen. Sie werden dabei sehen, wie schnell sich erste Erfolge einstellen. Auch hier gibt es genügend Stolpersteine, die zumeist in der Organisation zu finden sind: Sind Kompetenzen und Verantwortlichkeiten klar geregelt und vorhanden? Sind geeignete zeitliche Ressourcen der Funktionsträger bereitgestellt worden? Nicht zuletzt ist dabei zu bedenken, dass die Führungsebene eine positive Grundeinstellung zur Einführung eines ISMS ausstrahlen sollte.
Plan-Do-CHECK-Act: 3. Prüfen
Auch diese Phase des Prüfens und Bewertens ist eminent wichtig und ist bestenfalls von Beginn an bei der Gestaltung des Zyklus berücksichtigt worden. Nur wenn ein Unternehmen die ergriffenen Maßnahmen messen, dokumentieren und bewerten kann, wird die Grundlage für den kontinuierlichen Verbesserungsprozess und dessen Aufrechterhaltung geschaffen. Die dedizierte Messung der Performance durch sinnvoll festgelegte Key Performance Indicators (KPIs) ermöglicht intelligente Rückschlüsse zu ziehen, als Grundlage für die nächste Phase. Dies kann auch durch interne Audits geschehen. Weiterhin ist es absolut empfehlenswert, entsprechende Tools für das Monitoring zur Verfügung zu stellen, um eine effiziente Überprüfung zu gewährleisten. Eine regelmäßige, transparente Kommunikation der Kennzahlen und der daraus abzuleitenden Maßnahmen erhöht die Chancen, alle Funktionsträger mitzunehmen.
Plan-Do-Check-ACT: 4. Verbessern
Wir haben die Bedeutung der bisherigen Phasen schon gewürdigt. Ein weiterer kritischer Erfolgsfaktor ist nun die Act-Phase. Sie können noch so gut planen, durchführen und prüfen: Wenn ein Unternehmen bei der Abarbeitung des Verbesserungspotentials nicht konsequent handelt und Fehler beseitigt, wird es sich nicht fortlaufend verbessern. Auch hier empfehlen wir einen pragmatischen und an das Unternehmen angepassten Ansatz. Die Kosten und Aufwände sollten im Einklang mit den geplanten Maßnahmen stehen und durch die Ressourcen realistisch umsetzbar sein. Eine Priorisierung dabei ist zwingend notwendig.
ISMS pragmatisch umsetzen
Am Ende des PDCA-Zyklus steht der Anfang. Durch die Wiederholung des Zyklus wird eine weitere Schärfung und Verbesserung der Prozesse gewährleistet. Keinesfalls sollte man sich auf dem Erreichten ausruhen. In einer sich ständig veränderten Welt und dementsprechend angepassten Bedrohungslage der Informationssicherheit ist Stillstand nicht nur Rückschritt, sondern auch gefährlich. Auch die technologischen, marktgegebenen und gesellschaftlichen Weiterentwicklungen haben unterschiedliche Auswirkungen auf ihr Unternehmen. Ein stringenter PDCA-Zyklus hilft Ihnen, diesen Herausforderungen zu begegnen.
