Wurde Ihnen jemals die Aufgabe übertragen, die Sicherheitspolitik oder ein Verfahren zu schreiben? Aber Sie möchten nicht, dass Ihr Dokument am Ende wie so viele andere endet – verstaubt in irgendeiner Schublade? Hier sind einige Gedanken, die Ihnen helfen könnten …
Die von mir vorgestellten Schritte basieren auf meiner Erfahrung mit verschiedenen Kundentypen, großen und kleinen Unternehmen, öffentlich oder privat, kommerziell oder gemeinnützig. Ich denke, dass diese Schritte für alle gelten. Tatsächlich sind diese Schritte zum Implementieren von Richtlinien und Verfahren auf jede Art von Richtlinien und Verfahren anwendbar, nicht nur auf ISO 27001 oder ISO 22301.
1. Prüfen Sie die Anforderungen
Zuerst muss man verschiedene Anforderungen sehr sorgfältig prüfen – gibt es eine gesetzliche Regelung, dass etwas schriftlich festgehalten werden muss? Oder vielleicht ein Vertrag mit Ihrem Kunden? Oder eine andere hochrangige Richtlinie, die es in Ihrem Unternehmen bereits gibt (vielleicht eine unternehmenseigene Norm)? Und natürlich die Anforderungen der ISO 27001 oder BS 25999-2, wenn Sie diese Normen erfüllen wollen.
2. Berücksichtigen Sie die Ergebnisse Ihrer Risikoeinschätzung
Durch Ihre Risikoeinschätzung wird festgelegt, welche Fragen in Ihrem Dokument angesprochen werden und in welchem Maße – zum Beispiel müssen Sie möglicherweise entscheiden, ob Sie Ihre Informationen nach deren Vertraulichkeit einstufen, und wenn ja, ob Sie zwei, drei oder vier Geheimhaltungsstufen benötigen.
Dieser Schritt kann in dieser Form irrelevant sein, falls Ihre Richtlinie oder Ihr Verfahren keinen Bezug zur Informationssicherheit und zum betrieblichen Kontinuitätsmanagement hat. Die Grundlagen des Risikomanagements gelten natürlich auch für andere Bereiche – Qualitätsmanagement (ISO 9001), Umweltmanagement (ISO 14001) usw. Beispielsweise müssen Sie in ISO 9001 festlegen, in welchem Maße ein Prozess für Ihr Qualitätsmanagement entscheidend ist und dementsprechend müssen Sie entscheiden, ob dieser Prozess dokumentiert werden muss oder nicht.
3. Optimieren und Ausrichten Ihrer Dokument(e)
Es ist wichtig, die Gesamtzahl der Dokumente zu berücksichtigen. Schreiben Sie zehn einseitige Dokumente oder ein 10-seitiges Dokument? Es ist viel leichter, ein Dokument zu verwalten, vor allem wenn es sich um die gleiche Zielgruppe an Lesern handelt. (Erstellen Sie aber nicht ein einzelnes 100-Seiten-Dokument.)
Außerdem müssen Sie darauf achten, Ihr Dokument an anderen Dokumenten auszurichten – die von Ihnen festgelegten Punkte sind möglicherweise bereits in einem anderen Dokument teilweise definiert. In einem solchen Fall kann es überflüssig sein, ein neues Dokument zu schreiben,. Vielleicht muss nur das bestehende Dokumente erweitert werden.
Wenn Sie ein neues Dokument über ein Thema verfassen, das bereits in einem anderen Dokument genannt wird, so achten Sie darauf, Redundanzen zu vermeiden, also den gleichen Punkt in beiden Dokumenten zu behandeln. Später würde es ein Albtraum sein, diese Dokumente zu pflegen. Es ist viel besser, dass sich ein Dokument auf ein anderes bezieht, ohne die Inhalte zu wiederholen.
4. Strukturieren Sie Ihr Dokument
Sie müssen auch darauf achten, die unternehmenseigenen Vorschriften für die Formatierung des Dokuments einzuhalten – vielleicht haben Sie schon eine Vorlage mit vordefinierten Schriftarten, Kopf- und Fußzeilen usw.
Falls Sie ISO 27001 oder BS 25999-2 (oder eine andere Managementnorm) bereits umgesetzt haben, müssen Sie ein Verfahren zur Dokumentenkontrolle beachten. Ein solches Verfahren definiert nicht nur die Formatierung des Dokuments, sondern auch die Vorschriften für Genehmigung, Verteilung usw.
5. Schreiben Sie Ihr Dokument
Die Faustregel lautet: Je kleiner das Unternehmen und je geringer die Risiken, desto weniger komplex wird Ihr Dokument. Es gibt nichts Nutzloseres die Entscheidung, ein langwieriges Dokument zu schreiben, das niemand lesen wird – Sie müssen verstehen, dass das Lesen des Dokuments Zeit braucht, und die Aufmerksamkeit verhält sich umgekehrt proportional zur Zeilenzahl in Ihrem Dokument.
Eine gute Technik, um den Widerstand anderer Mitarbeiter gegenüber diesem Dokument zu überwinden (niemand mag Änderungen, vor allem, wenn das so etwas wie eine Verpflichtung ist, Passwörter regelmäßig zu ändern), besteht darin, sie beim Schreiben oder Kommentieren dieses Dokuments einzubeziehen – auf diese Weise werden Mitarbeiter verstehen, warum das Dokument notwendig ist.
6. Lassen Sie Ihr Dokument genehmigen
Dieser Schritt ist ziemlich selbstverständlich, aber ziemlich bedeutend. Denn falls Sie keine hochrangige Führungskraft Ihres Unternehmen sind, werden Sie nicht die Autorität haben, um dieses Dokument durchzusetzen.
Darum muss eine der Führungskräfte das Dokument verstehen, genehmigen und aktiv seine Umsetzung einfordern. Klingt einfach, aber glauben Sie mir – das ist es nicht. Dieser Schritt (und der nächste) sind diejenigen, deren Umsetzung am häufigsten fehlschlägt.
7. Schulung und Sensibilisierung Ihrer Mitarbeiter
Dieser Schritt ist wahrscheinlich der wichtigste, aber leider wird er sehr oft vergessen. Wie bereits erwähnt sind Mitarbeiter der ständigen Veränderungen müde. Mit Sicherheit werden sie keine weitere Veränderung begrüßen, vor allem nicht, wenn es mehr Arbeit für sie bedeutet.
Daher ist es sehr wichtig, Ihren Mitarbeiter zu erklären, warum eine solche Richtlinie oder Verfahren notwendig ist – warum es nicht nur für das Unternehmen gut ist, sondern auch für sie selbst.
Manchmal wird eine Schulung notwendig sein – es wäre verkehrt anzunehmen, dass jeder die Fähigkeiten besitzt, automatisch neue Tätigkeiten umzusetzen. Sie haben dieses Dokument geschrieben, daher mag es Ihnen als einfach und selbstverständlich erscheinen. Für Ihre Mitarbeiter ist es vielleicht eher etwas wie Gehirnchirurgie.
Ende der Geschichte?
Wenn Sie dachten, Sie hätten das Ende der Dokumentierung erreicht, so irren Sie sich – die Reise hat gerade erst begonnen. Alleine eine perfekte, von allen Mitarbeitern geliebte Richtlinie oder Verfahren reicht nicht aus. Sie müssen dieses Dokument auch pflegen.
Jemand muss dafür sorgen, dass dieses Dokument auf dem aktuellen Stand ist und verbessert wird. Andernfalls wird niemand mehr dieses Dokument beachten. Dieser ‚jemand‘ ist üblicherweise die gleiche Person, die das Dokument verfasst hat. Nicht nur das. Jemand muss prüfen, ob ein solches Dokument seinen Zweck erfüllt hat – auch das können Sie sein.
Wie Sie vielleicht beim Lesen dieses Artikels bemerkt haben, reicht es für eine erfolgreiche Richtlinie oder Verfahren nicht aus, eine schöne Vorlage zu haben – was Sie brauchen, ist eine systematische Herangehensweise an dessen Umsetzung. Und vergessen Sie dabei nicht die wichtigste Tatsache: Das Dokument ist kein Selbstzweck – es ist nur ein Werkzeug, um ein reibungsloses Funktionieren Ihrer Aktivitäten und Abläufe zu ermöglichen. Lassen Sie nicht zu, dass das Gegenteil passiert – nämlich dass ein solches Dokument diese Aktivitäten und Abläufe behindert.
Um Dokumente einfacher zu erstellen und zu bearbeiten, schauen Sie sich das Conformio Dokumentenmanagementsystem an.