Wir sind ein bisschen stolz: Vor zwei Wochen haben wir das Re-Audit unseres Informationssicherheitsmanagementsystems nach dem Standard ISIS12 erfolgreich bestanden. (Was für ein Wort-Ungetüm: Informationssicherheitsmanagementsystem! Da lernt man rasch und gern die Abkürzung ISMS.) Wir gehören damit zu dem ziemlich kleinen Kreis von kleinen / mittelständischen Unternehmen, die auf ein solches Niveau an Informationssicherheit verweisen können. So sind wir gut vorbereitet für unsere Projekte zu Führungsfeedback und Digitalisierung. Doch wenden wir uns dem Wort-Ungetüm zu.
Informationssicherheit bezeichnet einen Zustand, in dem die Risiken für die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit von Daten und IT-Systemen durch angemessene Maßnahmen auf ein akzeptierbares Maß reduziert sind. Zu erwähnen ist hierbei, dass Informationssicherheit auch die Sicherheit von nicht elektronisch verarbeiteten und gespeicherten Daten und Informationen umfasst. Von besonderer Relevanz ist hierbei das Ziel Verfügbarkeit der IT-Systeme. Hierunter fallen alle Vorkehrungen, um den Fortgang der alltäglichen Arbeit auch bei Ausfall einzelner IT-Systeme oder in Krisen und Notfällen zu sichern. Das erwies sich im Moment der Corona-Krise als Achillesferse so mancher Organisation.
Da wir keine brauchbare Definition finden konnten, versuchen wir eine eigene.
Ein Managementsystem ist eine systematische Zusammenstellung von Grundlagen, Bewertungen, Maßnahmen, Umsetzung und Evaluation. Zu den Grundlagen gehören u.a. Geltungsbereich, Ziele sowie Verankerung in der Organisation. Zu den Bewertungen gehören u.a. SOLL vs. IST, Risiken sowie priorisierter Handlungsbedarf. Das Managementsystem bildet auf diese Weise ein Ordnungssystem mit dem Anspruch, „alles“ Relevante vollständig zu erfassen und eine solide und zielgerichtete Steuerung von Veränderungen zu ermöglichen.
Sinnvollerweise basiert ein Managementsystem auf Unternehmenszielen und – soweit für die betreffende Branche relevant – dem entsprechenden regulatorischen Rahmen. Managementsysteme gibt es für die verschiedensten Themen: Qualität, Arbeitssicherheit, Umwelt, Energie, Risiken, Datenschutz und eben auch Informationssicherheit.
Wenn ich mich zurück erinnere, an unsere Anfänge mit dem Thema Informationssicherheit, dann staune ich immer wieder über unsere Lernerfahrungen. Ich staune, was der Anspruch eines Managementsystems mit uns „gemacht“ hat, mit unserer Arbeitsweise, mit unserer Aufmerksamkeit für Risiken (und damit Resillienz und Zukunftsfähigkeit), wie leichtgängig sich die Taktung Grundlagen erfassen – Bewertungen ausführen – Maßnahmen ableiten – Umsetzung – Evaluierung anfühlen kann. Diese Selbsterfahrung schätze ich hoch ein.
14.07.2020