>  NEWS & PROJEKTE > Herausforderungen bei der Umsetzung eines ISMS nach ISO/IEC 27001 – Teil 2

Herausforderungen bei der Umsetzung eines ISMS nach ISO/IEC 27001 – Teil 2


Der Stellenwert der Informationssicherheit


Wenn die Position des Verantwortlichen für das Informationssicherheitsmanagementsystem (ISMS) von einem Chief Information Security Officer (CISO) besetzt ist, steht diese Person oft vor Herausforderungen im Unternehmen. Die Einhaltung von Sicherheitsrichtlinien wird gelegentlich als lästig und umständlich wahrgenommen, da diese keinen direkten Bezug zu den umsatzgenerierenden Tätigkeiten haben, sondern die Organisation übergreifend und strukturiert absichern soll. Schnell ist von potenziell negativen Auswirkungen auf die Organisation und das Arbeitsklima die Rede, und die Umsetzung wichtiger Sicherheitsmaßnahmen kann beeinträchtigt werden. In einem Markt, der schnelle Kooperationen und Lieferungen erwartet, sind Zielkonflikte aufgrund neuer oder erweiterter (IS-)Prozesse absehbar. Viele Unternehmen sind unter Zeitdruck und müssen rasch Ergebnisse liefern. Ein Teil der Mitarbeiter versteht möglicherweise nicht, warum Sicherheitsvorgaben umgesetzt werden müssen, insbesondere wenn sie vermeintlich negative Auswirkungen auf die Bereitstellung von IT-Dienstleistungen und somit auf die Produktivität haben könnten. Diese Situation führt erfahrungsgemäß dazu, dass die Rolle des CISO als lästig wahrgenommen wird.


 


Um dieser Herausforderung vorzubeugen, sollte von Beginn an unternehmensweit die Wichtigkeit der Informationssicherheit durch die Geschäftsführung kommuniziert und unterstrichen werden. Das Management muss hinter dem ISMS stehen, finanzielle und personelle Ressourcen zur Verfügung stellen und die Umsetzung mittels eines strukturierten Reportings kontinuierlich überprüfen. Eine Möglichkeit ist die Veröffentlichung von Mitteilungen oder Artikeln über das ISMS via interner Newsletter oder das Intranet, in denen das Management ihre Unterstützung des CISO und des ISMS explizit unterstreicht. Weiterhin wird die Freizeichnung der Management Ebene und der damit verbundenen Veröffentlichung von Sicherheitsvorgaben das entsprechende Commitment verdeutlicht. 


Die Folge ist eine erhöhte Bereitschaft zur Aufrechterhaltung der Informationssicherheit im gesamten Unternehmen. Unterstützend ist in diesem Zusammenhang auch, die Konsequenzen mangelnder Informationssicherheit für das Unternehmen und die Mitarbeiter transparent und anschaulich darzustellen. Eine weitere Notwendigkeit stellt die kontinuierliche Durchführung von Sensibilisierungskampagnen und Awareness-Maßnahmen dar. Diese dienen dazu die Belegschaft auf aktuelle Bedrohungen, aber auch wichtige Aspekte in der gelebten Praxis hinzuweisen. Die Möglichkeiten zur Sensibilisierung sind mannigfaltig und decken viele Fälle ab. Das Repertoire umfasst Aushänge, einheitliche Bildschirmschoner mit Sicherheitshinweisen oder Begehungen von Büros, aber auch Phishing Kampagnen, Rätsel und Quizzes. 


Wenn Sie Fragen haben oder Unterstützung rund um ein ISMS brauchen, sprechen Sie uns gerne an.


Weitere News

Scroll to Top