Die Erfolgsfaktoren für die Umsetzung eines ISMS

Information Security Management – alles im Griff oder Devise Hoffnung?

Als Sicherheitsverantwortlicher wissen Sie, welche Risiken für Unternehmen ohne profundes Information Security Management entstehen. Sie konnten jedoch das Management Ihres Unternehmens noch nicht überzeugen, ausreichend Budget bereitzustellen und die entsprechenden Maßnahmen einzuleiten? Resignieren Sie nicht. Orientieren Sie sich an den Erfolgsfaktoren für die Einführung und Etablierung eines ISMS.
Ihr Unternehmen ist in seiner Branche führend, vielleicht sogar Weltmarktführer und/oder dem Wettbewerb aufgrund von Prozess- und Produktionswissen weit voraus? Meistens ist dies das Ergebnis jahrelanger harter Arbeit vieler Menschen, das es zu schützen gilt. Denn es gibt viele Motive, Ihrem Unternehmen zu schaden. Dies zeigen u. a. die massiv ansteigenden Delikte im Bereich der Wirtschaftskriminalität und die zahllosen Cybercrime-Attacken der vergangenen Jahre. Haben Unternehmen dies im Blick, ist die konsequente und professionelle Etablierung eines Informationssicherheitsmanagementsystems (ISMS) für eine verantwortungsvolle Unternehmens-führung unumgänglich. Die Abhängigkeit des Geschäftserfolgs von sicherer Informationstechnologie, die zunehmende Auslagerung von Services und Informationen (Outsourcing, Cloud Computing etc.), Compliance Anforderungen und weiter steigende Bedrohungen lassen den Verzicht auf ein ISMS unter dem Gesichtspunkt der Verantwortlichkeit nicht zu.
Als Sicherheitsverantwortlicher können Sie nur mit einem gut funktionierenden ISMS einen ganzheitlichen und nachhaltigen Beitrag zum Unternehmensrisikomanagement leis-ten. Alles andere ist Stückwerk und häufig nur gefährliche Feigenblattpolitik unter dem Motto „Wir tragen diesem Thema auch irgendwie Rechnung“.

Umfassendes Information Security Management

Die Grundpfeiler, die für ein umfassendes Information Security Management erfüllt sein müssen, sind die folgenden:

  • Die Geschäftsführung Ihres Unternehmens ist sich der Bedeutung eines ISMS für den Unternehmenserfolg bewusst, und die Fachabteilungen arbeiten als Owner der Werte und Assets im Sicherheitsmanagement aktiv und motiviert mit.
  • In Ihrem Unternehmen ist das Information Security Management kein Einzelprojekt, sondern ein permanenter Prozesskreislauf von Planung, Umsetzung, Über-prüfung und Verbesserung.
  • Das Zusammenspiel zwischen Sicherheitsexperten und Fachabteilungen basiert auf klar definierten Prozessen, und das Management wird monatlich, viertel- und halbjährlich auf Basis profunder Daten zum Stand der Risiken und Bedrohungen informiert.
  • In Ihrem ISMS ist eine ganzheitliche Betrachtung von Schwachstellen und Risiken im Zusammenspiel von Technik, Prozessen und Menschen umgesetzt und lückenlos dokumentiert.

Falls Sie in Ihrem Unternehmen noch weit von dieser Situation entfernt sind, sollten Sie nicht aufgeben, sondern die Blockaden überwinden und die Geschäftsführung mit einem verständlichen Business Case, der alle wichtigen Punkte auch für „Nicht-IT-Experten“ anschaulich darlegt, überzeugen. Machen Sie deutlich, dass Sie, selbst bei bestem Willen und hervorragender Qualifikation, ohne funktionierendes ISMS nicht den erforderlichen Beitrag zur Informationssicherheit und damit zum Unternehmenserfolg leisten können, der möglich wäre.

ISMS-Projekte zielgerichtet umsetzen

Aus der Erfahrung von vielen nationalen und internationalen ISMS-Projekten hat WMC die wesentlichen Erfolgsfaktoren für die erfolgreiche Einführung und Etablierung eines ISMS in einer Organisation bestimmt:

Klären Sie die Fakten: Der Unterschied zwischen IT-Sicherheit und ganzheitlicher Informationssicherheit ist Managern, die sich in ihrem Tagesgeschäft mit anderen Dingen beschäftigen, häufig noch nicht klar. Die Begriffe sind am Beispiel Auto betrachtet in etwa so identisch wie der Motor und das komplette Fahrzeug. Machen Sie deutlich, dass Informationssicherheit wesentlich mehr ist als die technische Absicherung der Verfügbarkeit von IT-Anwendungen und die Einhaltung von Datenschutzaspekten. Informationen ( Entwicklungen, Patente, Angebote, Verträge etc.) sind Unternehmenswerte, die in nahezu jeder Organisation intern oder extern auf Hard- und Software gespeichert werden und deren Vertraulichkeit, Verfüg-barkeit und Integrität sichergestellt sein müssen, um den Unternehmensbestand zu gewährleisten.

Zeigen Sie Einsparpotenziale auf: Die vollumfängliche Absicherung von IT-Infra-strukturen erfordert hohe Budgets. Durch ein ISMS gehören Informationssicherheitsmaßnahmen mit der „Gießkanne“ der Vergangenheit an. Durch die Transparenz der Risikoverteilung im Unternehmen kann bedarfsgerecht investiert werden. Das erzielt Kosteneinsparung bei gleichzeitiger Verbesserung der Sicherheitssituation.

Erläutern Sie Zusatznutzen: Neben der primären Verbesserung des Sicherheits-status unterstützt ein ganzheitliches ISMS durch die Historisierung und Dokumentation die Kontroll- und Aufsichtspflichten des Managements, reduziert die Haftung und verbessert das Image sowie das Vertrauen von Kunden und Auftraggebern.

Schaffen Sie Einsichten: Machen Sie klar, dass z. B. Datenspionage in nahezu keinem Fall so erkennbar ist, wie noch vor 20 Jahren ein aufgebrochener Safe. Es gibt oft-mals nahezu keine offensichtlich erkenn- baren Angriffsspuren, aber umso herbere Erkenntnisse, wenn z. B. ein ausländischer Wettbewerber die Neuentwicklung Ihres Hauses bereits kurze Zeit nach Ihnen viel günstiger anbieten kann oder plötzlich Ihre Angebote an Kunden von Wettbewerbern permanent unterboten werden.

Fordern Sie Commitment: Auf Ihre Analysen und Maßnahmenvorschläge zur Risikobegegnung hören Sie Antworten aus der Geschäftsleitung wie: „Warum sollen wir für Informationssicherheit Geld ausgeben?“, „Bei uns ist doch noch nie was passiert“, „Wer sollte uns schon was anhaben wollen?“ Nun, grundsätzlich kann jedes Management entscheiden, ob es ein Risiko tragen möchte. Aber idealerweise tut die Geschäftsführung dies aufgrund profunder Einschätzungen auf Basis von Fakten und nicht auf Basis von Vermutungen. Giovanni Agnelli (*1921), ital. Unternehmer (Fiat), bis 1996 Konzernchef, hat einmal gesagt: „[…] genau müssen wir schon sein, wenn wir uns über Risiken unterhalten. Denn die anderen, die es nicht so genau genommen haben, die finden wir alle auf dem Friedhof der Unternehmensgeschichte.“
Als Informationssicherheitsverantwortlicher tun Sie gut daran, sich in Fällen, in denen das Management meint, erkannte Risiken eingehen zu wollen, ein Risikoakzeptanz-papier unterzeichnen zu lassen. Wer Risiken tragen will, sollte kein Problem haben, schriftlich dazu zu stehen.

Fordern Sie Unterstützung: Machen Sie deutlich, dass Informationssicherheit das gesamte Unternehmen betrifft und die IT-Abteilung nur gemeinsam mit den Fachabteilungen bedarfsorientiert ein ISMS planen und umsetzen kann. Dieses Zusammenwirken funktioniert nur, wenn die Geschäftsführung von Anfang an hinter der ISMS-Einführung steht, da sonst das gesamte Vorhaben schon bei kleineren Umstrukturierungen während einer Umsetzungsphase ins Straucheln geraten kann und somit zum teuren Scheitern verurteilt ist.

Fordern Sie Zusammenarbeit und Mitwirkung: In einer frühen Phase benötigen Sie bereits die Unterstützung des Managements, um der gesamten Leitungsebene erläutern zu können, warum nur die Verbindung von IT-Assets, kombiniert mit dem Wissen der Fachabteilungen um die Kritikalität der Kerngeschäftsprozesse, es ermöglicht, den externen und internen Bedrohungen nachhaltig zu begegnen. Nur die Fachabteilungen kennen ihre Kern-prozesse so gut, dass in Zusammenarbeit mit ihnen die wirklich kritischen Informationen und Assets ermittelt werden können.
Die Differenzierung zwischen z. B. hochkritischen, kritischen und weniger kritischen Informationen und Assets ermöglicht ein individuell angemessenes und effizientes Risikomanagement und spart somit letzt-endlich Budget.

Arbeiten Sie mit Plan: Entwickeln Sie ein Einführungskonzept und planen Sie eine kontinuierliche Etablierung des ISMS. Beginnen Sie mit einzelnen hochkritischen Bereichen und erweitern Sie das ISMS sukzessive. Das fordert im ersten Schritt keine unüberschaubaren Investitionen, und die in einzelnen Bereichen bereits erarbeiteten Konzepte und Richtlinien können später auf weitere Abteilungen und Bereiche ausgerollt werden.

Seien Sie ein Teamplayer: Werben Sie um die Zusammenarbeit mit dem Unternehmensrisikomanagement und arbeiten Sie daran, dass die Ergebnisse des IT-Risikomanagements eine feste Komponente im Unternehmensrisikomanagement werden.

Nutzen Sie die verfügbaren Möglichkeiten: Nicht einmal die kleinste Organisation käme heute auf die Idee, z. B. die Finanzbuchhaltung per Excel umzusetzen. Alle Welt bedient sich der im Markt verfüg-baren Lösungen mit ihren automatisierten Berechnungen, Auswertungen und Dokumentationen. Die Planung und Etablierung eines funktionierenden ISMS in größeren Infrastrukturen ist eine komplexe Angelegenheit. Dennoch verzichten viele Informationssicherheitsverantwortliche heute noch auf die Unterstützung von Software. Prüfen Sie die Vorteile von Lösungsunter-stützung und die Hinzuziehung von externen Spezialisten. Das „Rad“ ISMS muss bei Planung und Einführung eines ISMS nicht neu erfunden werden. Leistungsstarke Lösungen verbinden die Themenbereiche Compliance, Risikomanagement, Security Incident Management, BCM/BIA einschließlich Dokumentation und Reporting übersichtlich, komfortabel und sind einfach zu bedienen. Die Usability schafft Anwenderzustimmung, besonders wenn moderne Wizards (Prozess-Assistenten) auch völlig ungeübte Nutzer durch komplette Prozesse führen. Dieser Komfort in Verbindung mit integrierten Prozessabläufen und Standards (ISO 27001 u. v. m.) bringt Akzeptanz in Fachabteilung und Management und spart Manpower und Kosten bei gleichzeitig signifikanter Verbesserung des Informationssicherheitsniveaus

Von Ellen Wüpper, WMC Wüpper Management Consulting GmbH

< zurück

Operatives Risikomanagement im Unternehmen

Wollen Sie die Informationssicherheit in Ihrem Unternehmen stärken? Nachhaltiges Risikomanagement ist unverzichtbar!

Das Risikomanagement leistet einen wertvollen Beitrag dazu, sich als Unternehmen vor Angriffen, Gefahren und Bedrohungen zu schützen und Schäden zu vermeiden. Zudem ermöglicht es, alle gesetzlichen Vorgaben einzuhalten und liefert den Nachweis für eine verantwortungsvolle Unternehmensführung.

Auch wenn wir es alle nicht gern hören, Abhörskandale und Datenspionage verdeutlichen uns eindrücklich, dass es mehr Interesse an unseren Informationen gibt, als wir es im Allgemeinen für möglich halten. Dass besonders die Geschäftsgeheimnisse und Werte von technologisch führenden europäischen Unternehmen interessant für andere sind, liegt auf der Hand und wird permanent in zahlreichen Studien zur Cyberkriminalität dokumentiert.

Aber auch Datenpannen in Unternehmen oder Organisationen aufgrund mangelnder Kontrolle und lückenhafter Prozesse im IT-Management führen häufig zu hohen, ungeplanten Kosten und Imageverlusten. Doch was ist zu tun? Aufgeben, abwarten und hoffen, dass das eigene Unternehmen nicht betroffen sein wird, oder sinnvolle Schritte unternehmen, das Risikomanagement betreiben, um die Risiken zu minimieren? Die Antwort liegt klar auf der Hand.

Operatives Risikomanagement als Bestandteil erfolgreicher Unternehmensführung.

Heute sind nahezu alle Geschäftsprozesse IT-gestützt und nahezu alle Informationen werden digital be- und verarbeitet. Deshalb leistet operatives Risikomanagement im Bereich Informationssicherheit (IS) einen wesentlichen Beitrag zum erfolgreichen Gesamtrisikomanagement eines Unternehmens oder einer Organisation.
Risikomanagement in der Informationssicherheit dient
  • dem Schutz vor Gefahren und Bedrohungen,
  • der Vermeidung von Schäden und damit,
  • der Vermeidung von Schäden und damit der Minimierung von Risiken für die Organisation.
Neben der Einhaltung gesetzlicher Vorgaben trägt die Umsetzung eines planvollen, auf die Unternehmensbedürfnisse abgestimmten Risikomanagements wesentlich zum Nachweis verantwortungsvoller Unternehmensführung und der Gewähr der Vertrauenswürdigkeit gegenüber Lieferanten, Kunden, Banken und Versicherungen bei. Wirksames und methodisches Risikomanagement ermöglicht die Verbindung von Geschäftsprozessen, Informationen und IT-Assets. Nur so wird transparent, welche Geschäftsprozesse und Informationen (einschließlich unterstützender Systeme) hochkritisch, kritisch und weniger kritisch sind.
Diese Kenntnis erlaubt ein differenziertes Vorgehen und bietet die Möglichkeit:
  • auch in einer komplexen IT-Landschaft nachhaltige Prozesse zu etablieren, die Gefahren vorausschauend identifizieren,
  • entsprechende Risikobegegnungsmaßnahmen rechtzeitig einzuleiten,
  • Kosteneinsparpotenziale bei den Investitionen in technische Produkte, bei den Service-Level-Agreements und durch die Standardisierung von Prozessen zu identifizieren und
  • auf Basis von belegbaren Fakten zu entscheiden und bedarfsgerecht zu agieren.

Wirksames Risikomanagement

Wirksames Risikomanagement muss kontinuierlich betrieben werden, wie es die Plan-Do-Check-Act-Methodik beispielsweise im ISO-Standard 27005 vorsieht. Es sollte in der Lage sein, Geschäftsprozesse und Informationen mit den IT-Assets so zu verbinden, dass alle Geschäftsprozesse und Informationen entsprechend ihrer Kritikalität vollständig, wirtschaftlich und methodisch identifiziert und optimal bedarfsgerecht abgesichert werden können.

Risikomanagement ist zudem dann erfolgreich, wenn es

  • an den individuellen Erfordernissen des Unternehmens ausgerichtet ist,
  • alle branchenspezifischen Anforderungen abbilden kann,
  • den Compliance-Anforderungen entspricht und eine vollständige Analyse und Behandlung aller IS-Risiken erlaubt,
  • so konzipiert ist, dass es die beteiligten Fachabteilungen dazu motiviert, sich zu beteiligen, auch wenn diese nicht täglich mit der Thematik befasst sind,
  • die Verantwortlichen für das Risikomanagement so unterstützt, dass die Kapazitäten für die Kernaufgaben genutzt werden können,
  • keine Insellösung ist, sondern die Möglichkeit bietet, die erhobenen Daten über das gesamte Unternehmen bei Bedarf zu aggregieren und zu vergleichen,
  • sich soweit möglich in die vorhandene IT-Landschaft integriert, sodass Daten nicht doppelt erfasst werden müssen und über Schnittstellen an andere Systeme, beispielsweise das Gesamtrisikomanagement, übergeben werden können.

Auf professionelle und erprobte Lösungen vertrauen

Grundsätzlich kann operatives Risikomanagement mit Hilfe von Standard-Software wie beispielsweise Microsoft Excel betrieben werden.

Führt man sich jedoch die komplexen Geschäftsprozesse größerer Organisationen und die damit verbundenen hochintegrierten IT-Landschaften vor Augen, wird schnell deutlich, dass dies ein komplexes Unterfangen ist. Ohne tiefe Kenntnisse bezüglich der erforderlichen Methodik und Umsetzung bzw. der Erfordernisse an ein entsprechendes Datenmodell kommt man schnell vom Weg ab, stößt an technische Grenzen und/oder riskiert am Ende eine teure und nicht den Erwartungen entsprechende Eigenentwicklung.

Ein erfolgversprechender und wirtschaftlicher Weg ist es, auf professionelle und erprobte Risikomanagement-Lösungen zu vertrauen, die häufig auch den Mehrwert eines kompletten IS GRC (Governance, Risk & Compliance) Systems bieten und die Compliance-Anforderungen bereits integrieren.

Moderne, benutzerfreundliche Lösungen bringen nicht nur die gesamte Methodik und die Inhalte internationaler Standards (einschließlich bereits umgesetzter Fragenkataloge und Best-Practice- Maßnahmenvorschläge) mit. Systeme, die sich flexibel an die Anforderungen der Anwender anpassen lassen, unterstützen Verantwortliche darüber hinaus durch die Integration und automatische Verknüpfung aller zusammengehörenden Abläufe.

Umfassende Berechtigungssysteme moderner Applikationen ermöglichen es auch großen Unternehmen, ihre Strukturen wirtschaftlich in einer Lösung abzubilden. Die Ergebnisse einzelner Organisationen können so verglichen und konsolidiert werden. Lösungsunterstützung im Risikomanagement ermöglicht es, nachhaltig wirtschaftlich und kostengünstig zu arbeiten.Eine gute Entscheidungshilfe bietet das Qualitätssiegel „IT Security made in Germany“, das vom „TeleTrusT Bundesverband IT-Sicherheit e. V.“ vergeben wird. Lösungshersteller mit diesem Kennzeichen verpflichten sich in besonderem Maße dazu, bei der Herstellung ihrer Produkte strenge Maßstäbe in Bezug auf Sicherheitsanforderungen zu beachten.

Von Ellen Wüpper, WMC Wüpper Management Consulting GmbH

< zurück

Datenschutz und Informationssicherheit – ein gutes Team

Die Etablierung eines DIMS und die Vorteile integrierter Managementsysteme

Die Verbindung von Datenschutz und Informationssicherheit ist nach den Vorgaben der DSGVO ein Vorgehen mit vielen Synergieeffekten. Unser Beitrag beschreibt, worauf bei der Etablierung eines DIMS geachtet und warum auf den Mehrwert eines integrierten Managementsystems nicht verzichten werden sollte.

Mit der Einführung der EU-Datenschutzgrundverordnung (DSGVO) im Mai letzten Jahres und den nun potenziell drohenden Strafen hat auch das Thema Informationssicherheit in den Unternehmensführungen deutlich an Bedeutung gewonnen. So nimmt zum Beispiel Artikel 5 der DSGVO Bezug auf die Etablierung eines Information-Security-Management-Systems (ISMS) im Unternehmen hinsichtlich der Integrität und Vertraulichkeit. Beide sind bereits bekannte Kriterien aus dem Informationssicherheitsmanagement, die in den vormals geltenden gesetzlichen Vorgaben jedoch nicht derart gefordert waren. Ebenso fordert Artikel 32 zur Etablierung eines dem Risiko angemessenen Schutzniveaus auf – auch diese Thematik ist über das Risikomanagement ein Hauptbestandteil eines ISMS.

Aufgrund der diversen Schnittmengen in der Erfüllung der Compliance in Bezug auf ISMS und Datenschutz haben bereits etliche Unternehmen erkannt, dass die Etablierung eines integrierten ISMS und Datenschutz-Systems (Datenschutz-Informationssicherheits Management-Systems (DIMS)) eine synergieträchtige Vorgehensweise darstellt. Jedoch sehen sich auch 2019 noch diverse Unternehmen von der Komplexität der Anforderungen überfordert bzw. müssen erkennen, dass sich mit MS-Excel oder anderen Listen diese komplexen Themen nicht mehr umfassend und nachhaltig lösen lassen.

Hilfreich sind hier eindeutig moderne integrierte DIMS: Ihr Einsatz unterstützt professionell alle Anforderungen des Datenschutzes und der Informationssicherheit. Neben methodischem, ganzheitlichem Vorgehen liefert ihre Nutzung auch grundsätzlich positive Aspekte für das Ansehen des gesamten Unternehmens.

Das sind zum Beispiel aus Geschäftsführungssicht:

  • die nachhaltige, ganzheitliche Risikominimierung,
  • die umfassende Absicherung der Unternehmenswerte,
  • die revisionssichere Dokumentation der Aktivitäten,
  • die Darstellung der Einhaltung der Compliance-Anforderungen gegenüber Geschäftspartnern, Kunden, Interessenten, Banken und Versicherungen.

Das richtige Produkt finden

Betrachtet man nun jedoch die Produktlandschaft, die zum Beispiel im europäischen Markt angeboten wird, etwas genauer, so lässt sich feststellen, dass längst nicht gleich ist, was gleich scheint, und nur billig nicht zum erwünschten Ergebnis führt. Der Markt ist in etwa so heterogen wie der der Automobilbranche. Dort gibt es den Kleinwagen aus Fernost zum geringen Preis ebenso wie den europäischen Luxuswagen mit neuestem technischem Entwicklungsknowhow. Beides sind Pkw, jedoch ist jedem in diesem Fall klar, dass die Produkte nicht gleich sind. Ähnlich ist es im Markt der DIMS beziehungsweise IMS, nur sind die Unterschiede dort nicht so offensichtlich, und leider werden oft Äpfel mit Birnen verglichen.

Wesentlich ist, ein DIMS genau anhand der individuellen Bedürfnisse zu prüfen und sich dann für eine professionelle und erprobte Lösung zu entscheiden, die zu den eigenen Anforderungen passt.

Anforderungen an eine DIMS-Lösung

Aber zurück zu dem, was moderne DIMS leisten können und auf welche Punkte Wert gelegt werden sollte. Ein modernes DIMS, wie zum Beispiel QSEC, arbeitet auf Basis der DSGVO und ISO 27001 und/oder IT-Grundschutz und etabliert anerkannte Verfahren, mit denen methodische Prozesse und Richtlinien in ein Unternehmen eingeführt werden können. Das ermöglicht, Risiken zu erkennen und einschließlich aller technischen und organisatorischen Maßnahmen zu steuern, zu kontrollieren und permanent zu verbessern (Plan-Do Check-Act-Kreislauf des ISMS). Die Umsetzung der Anforderungen aus der DSGVO basieren, wie auch im klassischen ISMS, auf Geschäftsprozessen und IT-Systemen. Dabei bietet die Umsetzung eines DIMS mit QSEC den Vorteil, alle Informationen zu betrachten, unabhängig davon, ob diese Daten in Papierform oder digital vorliegen und ob sie personenbezogen sind oder nicht.

Schutzbedarfsanalyse und Risikobeurteilung, einschließlich der daraus abgeleiteten Maßnahmen zur Risikobegegnung im Datenschutz, sollten im DIMS methodisch integriert sein. Die Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von IT-Systemen und -Diensten in Bezug auf den Datenschutz sollten ähnlich wie im ISMS umgesetzt werden. Ebenso ist es sinnvoll, dass die Reifegradbestimmung (Ist-Soll-Vergleich) der vorhandenen Datenschutz-Aktivitäten analog dem Vorgehen beim ISMS umgesetzt wird.

Nachhaltige DIMS ermöglichen neben den allgemeinen ISMS-Funktionen nach ISO 27001 und/oder BSI IT-Grundschutz immer die komplette und revisionssichere Dokumentation der Datenschutzund Informationssicherheitsaktivitäten, wie zum Beispiel:

  • das Führen eines Verzeichnisses von Verarbeitungstätigkeiten,
  • die Dokumentation der Weisung bei Auftragsverarbeitung, mit allen AV-Verträgen und den Dienstleistern je Geschäftsprozess und
  • die Meldung von Datenschutzvorfällen.

Benutzer unterstützen

Neben diesen datenschutzrelevanten Themen sollte ein DIMS folgende grundsätzliche Inhalte eines modernen datenbankgestützten

ISMS bieten, um die Verantwortlichen möglichst optimal zu unterstützen:

  • Das System ist integriert programmiert und wird komplett mit allen Modulen (Compliance, Risk Management, Maßnahmenmanagement, Information Assets, Security- Incident-Management, Dokumentenmanagement, Reporting) ausgeliefert. So lassen sich auch die Kosten im Vorhinein exakt bestimmen.
  • Die Lösung bietet einen hohen Anpassungsgrad an die Anforderungen der individuellen Organisationsstrukturen.
  • Fachabteilungen können für Interviews und zur Bewertung der Geschäftsprozessrisiken über Workflows der Lösung in den ISMS-Prozess eingebunden werden, ohne dass eine Schulung im System nötig ist. Dadurch wird Zeit gespart und die Benutzerakzeptanz gesteigert.
  • Das Managementsystem bietet tagesaktuelle Managementreports zum Stand von Datenschutz und Informationssicherheit, wie zum Beispiel Heatmaps, Soll-Ist-Vergleich etc. Dadurch kann der Verantwortliche jederzeit den Fortschritt seiner Aktivitäten dokumentieren und die Geschäftsleitung erhält aussagekräftige Berichte über alle verantwortungs- und entscheidungsrelevanten Themen.

Die genannten Punkte zeigen, dass die Verbindung von Datenschutz und Informationssicherheit in jedem Fall eine gute Entscheidung darstellt und die Umsetzbarkeit dieses Vorgehens sollte als wichtige Voraussetzung bei der Prüfung von zu beschaffenden Systemen geprüft werden.

 

Vom DIMS zum IMS

Darüber hinaus können Unternehmen ein DIMS zu einem ganzheitlichen integrierten Managementsystem (IMS) ausbauen. Die Etablierung eines professionellen DIMS verursacht Investitionen, die sich möglichst optimal auszahlen sollen. Da viele Unternehmen nicht nur ISMS und Datenschutz erfüllen müssen, sondern auch diversen anderen gesetzlichen und Branchenstandards Rechnung tragen wollen, ist es empfehlenswert, eine Systemerwerbung auch aus Sicht der Erfüllung weiterer gesetzlicher Anforderungen, Normen und Standards zu prüfen. So kann schrittweise ein IMS etabliert werden, das umfassende weitere Anforderungen abdeckt.

Die Vorteile eines solchen Managementsystems sind zum Beispiel:

  • Etablierung einer einheitlichen, unternehmensweiten Datenbasis und Methodik.
  • Alle weiteren erforderlichen additionalen Standards, Normen, Gesetze können im gleichen System abgebildet und von mehreren Verantwortlichen genutzt werden.
  • Keine Redundanzen und Doppelaufwendungen. Dadurch ergeben sich Ressourcen-, Zeit- und Investitionskostenersparnisse.
  • Hohe Nutzerakzeptanz durch weniger Schulungsaufwand, Benutzerfreundlichkeit und Workflowunterstützung.

 

Fazit

Abschließend sei jedoch noch angemerkt, dass es unabhängig von einer Softwarelösung wesentliche Punkte gibt, die für jede Datenschutzmanagement-, ISMS-, DIMS- und IMS-Einführung grundsätzlich wesentlich sind, wenn diese erfolgreich sein und echten Nutzen für eine Organisation erzielen sollen.

Diese sind:

  • Nachhaltige und wirksame Erfolge werden nur durch eine ganzheitliche Sichtweise und deren Umsetzung erzielt.
  • Die Datenschutz-, ISMS-, DIMS-, IMS-Strategie muss von der Geschäftsstrategie und -situation abgeleitet werden.
  • Verantwortliche benötigen klare Kompetenzen und die erforderlichen betriebswirtschaftlichen, juristischen, organisatorischen oder technischen Kenntnisse.
  • Nachhaltiges Management ist ein laufender Prozess, der schrittweise und stufenweise und nicht mit einem „Big Bang“ erfolgen sollte.

Die Unterstützung der Geschäftsführung ist für ein erfolgreiches Management erforderlich.
Der Aufwand lohnt sich jedoch: Denn richtig verstandene und ganzheitliche Unternehmens- und Datenschutz- und Informationssicherheit minimiert die Risiken, erhöht die Transparenz, spart Kosten und wird so zum Erfolgsfaktor für eine Organisation.

Von Ellen Wüpper, WMC Wüpper Management Consulting GmbH

< zurück