In der Praxis wird der Informationssicherheitsbeauftragte oft als Leiter eines ISMS eingesetzt, wie es in einigen regulatorischen Anforderungen, beispielsweise BAIT, vorgeschrieben ist. Allerdings verfügen diese Personen nicht immer über die notwendigen Fähigkeiten und Kenntnisse, um ihre Aufgaben angemessen zu erfüllen.
Dies kann Unsicherheiten unter den Verantwortlichen hervorrufen, wie die ISO27001-Anforderungen aus Kapitel 4 bis 10 und des Anhangs A praktikabel umgesetzt werden können. Dadurch können Unklarheiten über die Planung und Durchführung von Maßnahmen zur normkonformen Handlung entstehen.
Solche Herausforderungen treten auch auf, wenn diverse Fachbereichsanforderungen erfüllt werden müssen und den Verantwortlichen die Anforderungen nicht ausreichend erläutert werden. Dies kann dazu führen, dass erforderliche Maßnahmen nicht ausreichend oder fristgemäß umgesetzt werden.
Tipps für Informationssicherheitsbeauftragte und Leiter eines ISMS
Ein erstes Verständnis lässt sich durch weitere Normen, wie dem BSI IT-Grundschutz-Kompendium1, erarbeiten. Während die Anforderungen in den ISO-Normen generisch sind, bietet das Kompendium detaillierte und anwendbare Beispiele. Weitere Informationsquellen können über die Vernetzung mit Kollegen in ähnlichen Positionen innerhalb und außerhalb der Branche erschlossen werden.
Es ist ratsam, ein breites Netzwerk aufzubauen, um verschiedene Perspektiven zu relevanten Themen wie Risikomanagement, Notfallmanagement und Datenschutz zu erhalten. Dies ermöglicht es, informierte und fundierte Entscheidungen zu treffen. Veranstaltungen und Arbeitskreise, in denen Erfahrungen, Lessons Learned und Umsetzungsansätze für komplexe Themen ausgetauscht werden können, sind hierfür geeignet.
Die kontinuierliche Weiterbildung des Informationssicherheitsbeauftragten ist ein weiterer essenzieller Faktor, um bei informationssicherheitsrelevanten Themen auf dem Laufenden zu bleiben. Synergien können entstehen, die dem Datenschutzbeauftragten Unterstützung bieten, wenn Fragen zum “Stand der Technik” aufkommen.
Externe Experten, wie Berater, können den Umgang mit aufkommenden Komplikationen erleichtern und zusammen Lösungen finden. Der Vorteil liegt darin, dass jedes Problem individualisiert angegangen werden kann, externe Fachleute auf einen großen Erfahrungsschatz zurückgreifen können und spezielles Branchenwissen besitzen. Berater agieren neutral, da sie unabhängig von internen Unternehmenskonflikten sind.
Für Probleme in Fachbereichen ist es vorteilhaft, die Ansprechpartner frühzeitig einzubeziehen, die Anforderungen ausführlich zu erläutern und zu gewährleisten, dass ihnen ein Ansprechpartner zur Verfügung steht, an den sie sich bei Schwierigkeiten wenden können. Neben den offiziellen Terminen ist es hilfreich, sich regelmäßig nach dem Umsetzungsstand zu erkundigen, jedoch ohne einen Kontrollcharakter zu schaffen.
Wenn Sie Fragen haben oder Unterstützung möchten, sprechen Sie uns gerne an.
[1] Hierbei handelt es sich um Dokumente, die vom BSI veröffentlicht wurden und sich umfassend mit dem Thema Informationssicherheit, sowie mit der Umsetzung einzelner Maßnahmen auseinandersetzen.
