Tutorial, Teil 3: Aufbau eines ISMS – prüfen und verbessern

Der Weg ist das Ziel

Robert Manuel Beck

Dass Informationssicherheit nie abgeschlossen oder perfekt ist, weiß mittlerweile jeder. Sie ist ein im Unternehmen dauerhaft zu etablierender Prozess, der immer wieder überprüft und gegebenenfalls angepasst werden muss.

iX-tract

Der wichtigste Schritt bei der Einführung eines kontinuierlichen Verbesserungsprozesses ist es, erst einmal anzufangen – aus „Klein-Klein“ kann später immer noch der perfekte Prozess werden.
Hilfsmittel sind sinnvoll gewählte Kennzahlen, die eine gewisse Aussagekraft in Bezug auf Veränderungen haben, sowie simple Tabellen- oder Textprogramme, in denen man systematisch Anforderungen, Überprüfungen, Verbesserungsmaßnahmen und Verantwortliche festhält.
Die zu Beginn noch ungewohnten Vorgehensweisen etablieren sich allmählich und die Beteiligten gewöhnen sich an die stetig angepassten Anforderungen. Wird eine Zertifizierung angestrebt, lassen sich die vorhandenen Werkzeuge und Vorarbeiten entsprechend dem jeweiligen Standard ausbauen.

Der erste Teil des ISMS-Tutorials beschrieb, wie man Anforderungen an ein Unternehmen erfassen kann. Die Grundlage dafür bildeten unterschiedliche Quellen (Gesetzgeber, Kunden etc.), aus denen diese Anforderungen systematisch und kontinuierlich abgeleitet wurden. Der zweite Teil zeigte, wie man solche Anforderungen über das Risikomanagement in Vorgaben (zum Beispiel Richtlinien) und Aufgaben (zum Beispiel Umsetzung von Sicherheitsmaßnahmen) übersetzt. Der dritte und letzte Teil des Tutorials widmet sich nun dem Prüfen und Verbessern der Vorgaben und Aufgaben, aber auch des ISMS selbst. Es gilt zu schauen, an welchen Stellen es Abweichungen vom eigentlichen Ziel, also vom Einhalten der bestehenden Anforderungen, gibt. Darüber hinaus soll aber auch festgestellt werden, ob die etablierten Vorgehensweisen und Regelungen geeignet sind oder noch verbessert werden können.