Sehr oft höre ich Dinge über ISO 27001 und weiß dabei nicht, ob ich darüber lachen oder weinen soll. Eigentlich ist es komisch, wie sehr Menschen dazu tendieren, Entscheidungen über etwas zu treffen, von dem sie sehr wenig wissen – dies sind die häufigsten Irrtümer:
„Die Norm fordert …“
„Die Norm fordert, dass alle 3 Monate die Passwörter geändert werden.“ „Die Norm fordert, dass es mehrere Lieferanten geben muss.“ „Die Norm fordert, dass der Standort zur Wiederherstellung im Katastrophenfall mindestens 50 km vom Hauptstandort entfernt sein muss.“ Wirklich? Die Norm fordert nichts in dieser Art. Leider höre ich diese Art falscher Informationen ziemlich oft – die Leute halten in der Regel Best Practices fälschlicherweise für Anforderungen der Norm. Das Problem ist jedoch, dass nicht alle Sicherheitsvorschriften auf sämtliche Unternehmenstypen anwendbar sind. Wer behauptet, dass dies in der Norm vorgeschrieben ist, haben die Norm möglicherweise nie gelesen.
„Wir überlassen diese Tätigkeit der IT-Abteilung“
Dies ist der Lieblingssatz der Leitung – „Informationssicherheit dreht sich nur um IT, nicht wahr?“ Nun, nicht wirklich – zu den wichtigsten Aspekten der Informationssicherheit gehören nicht nur IT-Maßnahmen, sondern auch organisatorische Fragen und Personalmanagement, die normalerweise außerhalb des Einflussbereichs der IT-Abteilung liegen. Siehe auch Informationssicherheit oder IT-Sicherheit?.
„Wir werden es in ein paar Monaten umsetzen“
Sie können Ihre ISO 27001 in 2 oder 3 Monaten umzusetzen, aber es wird nicht funktionieren. Sie würden nur eine Reihe von Richtlinien und Verfahren schaffen, um die sich niemand kümmert. Umsetzung von Informationssicherheit bedeutet, dass Sie Änderungen umsetzen müssen, und Veränderungen brauchen Zeit.
Nicht zu vergessen, dass Sie nur diejenigen sich heiß Maßnahmen umsetzen, die wirklich notwendig sind. Die Analyse des tatsächlichen Bedarfs braucht Zeit – dies wird Risikoeinschätzung und Risikobehandlung genannt.
„In dieser Norm geht es nur um Dokumentation“
Dokumentation ist ein wichtiger Teil der Umsetzung der ISO 27001, aber Dokumentation ist kein Selbstzweck. Der wichtigste Punkt ist, dass Sie Ihre Aktivitäten auf sichere Weise durchführen. Die Dokumentation dient hier als Unterstützung. Auch die von Ihnen erstellten Aufzeichnungen werden Ihnen bei der Feststellung helfen, ob Sie Ihre Ziele hinsichtlich der Informationssicherheit erreichen. Sie ermöglichen ihnen auch, Aktivitäten mit nicht ausreichender Leistung zu korrigieren.
„Der einzige Vorteil der Norm besteht im Marketing“
„Wir tun dies nur, um das Zertifikat zu bekommen, nicht wahr?“ Nun, das ist (leider) die Art und Weise, wie 80 Prozent der Unternehmen denken. Ich versuche nicht, hier zu argumentieren, dass ISO 27001 nicht zu Werbe- und Vertriebszwecken verwendet werden sollte. Sie kann aber auch zur Erreichung anderer sehr wichtiger Vorteile dienen – wie etwa, so etwas wie Wikileaks bei Ihnen zu verhindern. Siehe auch Vier wichtige Vorteile der ISO 27001 Umsetzung und Lehren aus Wikileaks: Aber was ist Informationssicherheit genau?.
Der springende Punkt ist: Lesen Sie die ISO 27001, bevor Sie sich eine Meinung darüber bilden. Sollte diese Lektüre zu langweilig für Sie sein (ich gebe zu, sie ist nicht spannend), so lassen sich von jemandem beraten, der bereits tatsächlich etwas darüber weiß. Und versuchen sie, andere Vorteile als Marketing zu erfassen. Anders ausgedrückt: Erhöhen Sie Ihre Chancen, eine rentable Investition in die Informationssicherheit zu tätigen.
Um ISO 27001 einfacher zu implementieren und zu pflegen, besuchen Sie die Conformio Compliance Software.