Drei Erfolgsfaktoren beim Aufsetzen eines ISMS

Die organisatorische Aufsetzung und Einbettung eines ISMS in die Gesamtorganisation ist ein grundlegender Erfolgsfaktor für Ihr ISMS-Vorhaben. In diesem Artikel erfahren Sie drei wesentliche Punkte, die Sie bereits bei dem Aufsetzen Ihres ISMS beachten sollten.

  1. Ableitung von der Geschäftsstrategie: Sie erhöhen die Sinnhaftigkeit und Wertschätzung des ISMS, wenn es stark mit der Geschäftsstrategie Ihrer Organisation verdrahtet ist. Ein gutes Verständnis der Geschäftsstrategie ermöglicht Ihnen besser zu berücksichtigen welche Informationswerte von wesentlicher Bedeutung für Ihr Unternehmen sind. Dies können Sie bei der Gestaltung der Informationssicherheit-Strategie einfließen lassen. Außerdem hilft Ihnen die Demonstration des Geschäftsverständnisses bei dem ständigen Dialog mit Organisationseinheiten, da Sie eine gemeinsame Gesprächsgrundlage haben.
  2. Hohes Management-Commitment: Das erlangte Verständnis über die Geschäftsstratgie wird sich spätestens zur Erhöhung des Management-Commitments bezahlt machen. Präsentieren Sie dem Top-Management das ISMS als Business Case. Erläutern Sie, wie durch das ISMS wesentliche Geschäftsrisiken mitigiert, Wettbewerbsvorteile erzielt und gleichwohl neue Werte geschaffen werden können. Im Idealfall kann das ISMS Gewinn- und Umsatz Ihrer Organisation sogar steigern (bspw. wenn Sie IT-Dienstleister sind und Ihre Kunden ein wirksames ISMS als zusätzlichen Wert betrachten). Details zur Gestaltung eines Business Case für ISMS haben wir für Sie ebenfalls zusammengestellt. Auch nach dem Aufsetzen des ISMS ist ein stetiger Dialog mit Top-Management wichtig, um den langfristigen Fortbestand zu sichern. Dabei steht das Management in der Verantwortung Änderungen an dem ISMS (wie bspw. neue oder geänderte Policies) freizugeben. Gleichwohl stehen Sie als IS-Manager in der Verantwortung wesentliche Informationen bedarfsgerecht für das Management bereitzustellen. Empfehlenswert ist eine Kombination aus regelmäßigem Reporting (bspw. quartalsweise) und Adhoc-Reporting bei wesentlichen Änderungen oder Zwischenfällen.
  3. Dialog mit Organisationseinheiten: Die Schnittstellen des ISMS mit den Fachabteilungen und Asset (Informationswert) Ownern ermöglichen erst das ISMS mit Leben zu füllen. In den meisten Fällen tragen die Fachabteilungen bzw. deren Führungskräfte die organisatorische Verantwortung für Informationswerte und sind somit auch für deren Schutz verantwortlich. Sie kennen also auch die Bedeutung der Informationswerte und sind Ihr Ansprechpartner beim Risiko Management. Wenn Sie einen offenen Dialog mit den Organisationseinheiten erschaffen haben, wird das kontinuierliche Risiko Management eine viel höhere Qualität erreichen. Das typische Problem, dass Risiken „totgeschwiegen“ werden, kann damit sehr gut von Ihnen adressiert werden.

Fazit: Der Erfolg von Ihrem ISMS kann schon sehr früh maßgeblich durch das korrekte Aufsetzen beeinflusst werden. Beim Aufsetzen des ISMS ist eine geschäftsorientierte Integration in die Organisation entscheidend.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *