• (0)
    ISO-27001-ISO-22301-blog

    ISO 27001 & ISO 22301 Blog

    Haupthindernisse für die Umsetzung von ISO 27001


    Sie haben diese großartige Idee, dass Sie mithilfe der Norm ISO 27001 Compliance erreichen, neue Kunden gewinnen, die Kosten für Vorfälle senken und Ihre IT-Kernprozesse optimieren können? Die Idee ist nett – aber sobald es um die Umsetzung geht, wird es kompliziert.

    Zunächst müssten Sie Ihr Management davon überzeugen (falls Sie nicht selbst Teil des leitenden Managements sind), dass die Norm ISO 27001 in Ihrem Unternehmen wirklich notwendig ist. Das Management ist in der Regel mit anderen Verpflichtungen und Fristen überlastet. Es ist wahrscheinlich, dass sie lieber kein weiteres Projekt in Angriff nehmen wollen, um das sie sich kümmern müssten.

    Selbst wenn das Management bestrebt ist, etwas im Bereich Informationssicherheit zu tun, stellt sich die zweite Frage – wie wird es finanziert? Auf den ersten Blick mag es scheinen, dass „diese Papiere nicht zu viel kosten sollten“. Bald jedoch werden Sie merken, dass Sie den Berater bezahlen, Fachliteratur kaufen, Ihre Mitarbeiter schulen, in Software und Ausrüstung investieren, für die Zertifizierung zahlen usw.

    Aber nehmen wir einmal an, dass Sie wie durch ein Wunder das Geld dafür erhalten. Nun stellt sich die dritte Frage: Wer wird das eigentlich machen? Wenn Sie einen ehrliche Berater haben, so wird er oder sie Ihnen sagen, dass es nicht ausreicht, dass ein Berater Ihnen die Vorlagen der Dokumentation übermittelt, sondern dass Sie die Dokumentation in harter Arbeit an ihre Situation anpassen müssen. Aber es hört hier nicht auf – der Berater sagt Ihnen auch, dass Sie tatsächlich genau das tun müssen, was in der Dokumentation (und in der Norm) steht, was Sie tun sollen. Und es ist eine permanente Verpflichtung, nicht eine einmalige Aufgabe.

    Dann sprechen Sie mit Ihren Kollegen und fragen, wie sie die Arbeit für Umsetzung und Ausführung der Norm ISO 27001 aufteilen würden. Diese werden sicher ganz plötzlich das Thema wechseln. Schlimmer noch – vielleicht bitten Sie das Management, einen Informationssicherheitsmanager einzustellen, der aufgrund des Mangels an entsprechenden Fachkräften auf dem Arbeitsmarkt nicht für wenig Geld arbeiten wird.

    Also werden am Ende Sie zum Projektleiter für ISO 27001 ernannt, mit einem kleinen oder verschwindenden Budget, mit einem Team, das sich nicht wirklich um Informationssicherheit kümmern möchte, und das Management will das Zertifikat schnellstmöglich nach Projektbeginn.

    Sind Sie noch an ISO 27001 interessiert?

    Um die häufigsten Probleme mit der ISO 27001 Implementierung zu beheben, sehen Sie sich die Conformio Compliance Software an.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Unter Dejans Preisen und Zertifikaten findet man unter anderem: leitender Auditor für ISO 9001, zertifizierter Berater für das Management, Fachkraft für betriebliches Kontinuitätsmanagement und leitender ISO/IEC-Auditor für Managementsysteme für Informationssicherheit. Dejan führt unser Team in der Betreuung verschiedener Webseiten, die ISO- und IT-Fachkräfte beim Kennenlernen der wichtigen internationalen Normen und deren erfolgreicher Umsetzung unterstützen. Dejan besitzt einen MBA-Titel des Henley Management College und verfügt über langjährige Erfahrung in den Bereichen Bankwesen, Versicherungswirtschaft und Investment-Funds. Dejan ist bekannt für sein Expertenwissen in den Bereichen Informationssicherheit und Kontinuitätsmanagement (ISO 27001 und ISO 22301) – und hat zahlreiche Toolkits zur Dokumentation, Online-Tutorials und Bücher verfasst.
    Tags: #ISO 27001