Einführung eines Informationssicherheits-managementsystems

Zusammenfassung

• Projekt zur Einführung eines "gelebten" und zertifizierbaren Informationsmanagementsystems
• Größte Herausforderung: Technologiezentrische Start-Up-Kultur musste mit strikten, zertifizierbaren Strukturen versehen werden
• Wir haben Strukturen und Prozesse etabliert, die die normativen Anforderungen erfüllt haben, gleichzeitig aber schlank sind und "gelebt" werden können
• Dabei haben wir Wert auf die Angemessenheit des Managementsystems für den Anwendungsfall gelegt

Anfang/ Problem

Auf Anfrage verschiedener Stakeholder sollte in einem IT-zentrischen Unternehmen ein Informationssicherheitsmanagement-System entworfen, implementiert und zertifiziert werden. Die Herausforderung bestand unter anderem darin, dass das Unternehmen ohne die entsprechenden strukturellen Grundlagen rapide generisch gewachsen war.

‍

Der Weg zur Lösung: Strukturen schaffen- Agilität beibehalten

Wo keine Strukturen sind, müssen Strukturen geschaffen werden. Insbesondere, wenn es um eine Zertifizierung nach einer Norm mit definierten Anforderungen an Verfahren und Prozesse geht. Dabei war die Prämisse von Anfang an, dass das Unternehmen nicht eingeschnürt und eingebremst werden durfte. Der Start-Up-Charakter eines sich in einem schnell veränderlichen Hochtechnolgie-Markt bewegenden Unternehmens sollte erhalten bleiben. Fehlende Agilität würde einen Wettbewerbsnachteil bedeuten. Aus diesem Grund haben wir beim Aufbau des Managementsystems besonderes Augenmerk auf den Aspekt Angemessenheit gelegt. Zudem war von Anfang an vom Kunden gewünscht, dass als Ergebnis des Projekts ein "gelebtes" Managementsystem entsteht.

"Fehlende Agilität würde einen Wettbewerbsnachteil bedeuten. Aus diesem Grund haben wir beim Aufbau des Managementsystems besonderes Augenmerk auf den Aspekt Angemessenheit gelegt."

Zu Beginn des Projekts führten wir eine ausführliche Analyse der bestehenden Strukturen und der Infrastruktur durch, um anschließend durch einen Abgleich mit den Anforderungen herauszufinden, wo bereits Anforderungen erfüllt und nur noch dokumentiert werden mussten. Die bestehenden Lücken wurden identifiziert und ebenfalls dokumentiert.

Beim Entwurf des Managementsystems wurde die Angemessenheit im Wesentlichen durch 4 Grundsätze erreicht:

1. Bestmögliche Nutzung bestehender, gelebter Verfahren und Strukturen und ggf. deren Optimierung

2. Füllen der Lücken durch maximal schlanke und einfach anzuwendende Prozesse

3. Realisierung der Dokumentation und Dokumentenlenkung innerhalb der bestehenden IT-Infrastruktur

4. Fortlaufend kurzfristiges Verifizieren der Anwendbarkeit der Ergebnisse mit betroffenen Mitarbeiter:innen beim Kunden

So konnte der Aufwand beim Entwurf des Managementsystems ebenso reduziert werden wie die Aufwände beim Einführen neuer IT-Anwendungen. Personelle Ressourcen wurden geschont und die Anpassungsschwierigkeiten seitens der Mitarbeiter:innen wurden minimiert. Die ständige enge Abstimmung mit Betroffenen und Entscheidern ermöglichte Probeläufe neuer Prozesse und deren Optimierung in kurzen Zeiträumen.  

Ein Highlight war die Etablierung von einfach anzuwendenden Prozessen zur Informationssicherheitsrisikoerkennung, -bewertung und -behandlung, die noch in der Erprobungsphase zur erfolgreichen Behandlung eines echten Vorfalls angewendet werden konnten und anschließend mit den gewonnenen Erfahrungen perfektioniert wurden.

‍