Die Bedeutung eines gut funktionierenden Informationssicherheitsmanagementsystems (ISMS) hat in den letzten Jahren stetig zugenommen und wird von den Unternehmen zunehmend wahrgenommen. Es liegt bereits eine diverse Fülle an Literatur vor, die sich mit dem Aufbau und der Weiterentwicklung eines ISMS beschäftigt. 1
Hierbei werden die Verantwortlichen jedoch selten auf Stolpersteine und Herausforderungen vorbereitet, die bei der praktischen Umsetzung auftreten können. In diesem und in den folgenden Artikeln werden daher ausgewählte Problemstellungen vorgestellt sowie ein möglicher Lösungsansatz, der sich in erfolgreichen Projekten bewährt hat, erläutert.
Die Artikel richten sich einerseits an die Verantwortlichen der Informationssicherheit, die gerade ein ISMS aufbauen und für die kommenden Herausforderungen gut gewappnet sein wollen. Andererseits werden Lösungsmöglichkeiten für Verantwortliche eines ISMS aufgezeigt, die sich bereits mitten im Betrieb befinden und Lösungen für ihre Herausforderungen suchen. Die dargestellten Herausforderungen erheben keinen Anspruch auf Vollständigkeit, sondern stellen lediglich eine Auswahl häufig auftretender Herausforderungen in der Praxis dar.
Wer trägt die Verantwortung und wer kümmert sich um das ISMS?
Eine der ersten und häufigsten Fragen zielt darauf ab, wer sich dem Thema der Umsetzung des ISMS annimmt. An dieser Stelle ist zu berücksichtigen, dass grundsätzlich die Geschäftsleitung die Verantwortung dafür trägt, dass ein ISMS umgesetzt wird und dieses aktiv mit Ressourcen und Management-Attention unterstützt.
In diesem Abschnitt geht es somit darum, wer für die praktische Umsetzung verantwortlich ist. Es kam bereits häufiger vor, dass die Einstellung „Das hat doch mit IT zu tun, dann soll sich die IT auch dem ISMS annehmen“ vertreten wurde. Wenn die betroffenen Personen Informationssicherheit hören, denken sie direkt an IT-Security und wollen daher die Verantwortung an diese Mitarbeiter übergeben. Die IT hingegen erkennt häufig schnell, dass es sich bei der Informationssicherheit um weit mehr handelt als IT-Security und will daher die Verantwortung wieder zurückgeben. So kann es passieren, dass im Vorfeld bereits unnötig viel Zeit und Aufwand investiert wird, in der die Verantwortung hin und her verschoben wird. Je nach Aufbau des Unternehmens wird mehr oder weniger Verantwortung im Bereich der IT verankert.