Erfolgreiche Umsetzung

Zusammenfassend lässt sich feststellen, dass sich das Sicherheitsmanagement zunächst um die Identifikation der in der Organisa­tion vorhandenen Informationsbestände sorgen muss. Dabei werden diejenigen Maßnahmen dokumentiert, die die Vertraulichkeit, die Integrität und die Verfügbarkeit der Informationen gewährleisten. Darunter fallen unter anderem innerbetriebliche Übereinkommen, Standards, Prozeduren und Richtlinien. 

Alle beschriebenen Modelle erfüllen letztendlich diesen  Zweck. Für welche Variante sich ein Unternehmen entscheidet, ist oft in erster Linie Geschmackssache. Es gibt aber auch Umstände, die ein bestimmtes Vorgehen nahelegen: Arbeitet ein Unternehmen viel mit Partnern im Ausland zusammen, kann zum Beispiel eine internationale Ausrichtung beim gewählten Informationsicherheits-Standard sinnvoll sein.

Christian Heutger von der PSW Group findet: „Die BSI-Empfehlungen können als gute Referenzen herange­zogen werden, neben diesen gibt es auch weitere gute Hilfen, unter anderem die internationalen Standards.“

Sich bei seinem Sicherheitskonzept sklavisch an den Wortlaut von ISO 27001 zu klammern oder blind auf die BSI-Maßnahmenkataloge zu vertrauen, ist allerdings nicht sinnvoll.  Besser ist es, jeweils auf ihrer Basis die für das Unternehmen am besten geeigneten Methoden und Maßnahmen zu wählen.

Aus Sicht von Experten wie dem CISO von Schleupen, Berthold Model, muss stets die Unternehmensleitung mit der Etablierung von ISMS-Umsetzungen beginnen: „Die Verantwortung für die Einführung und Umsetzung eines Informationssicherheitssystems liegt bei der Geschäftsführung und kann von dieser nicht delegiert werden. In erster Linie muss die Informationssicherheitsstrategie, welche sich aus den Unternehmens- und Sicherheitszielen ableitet, definiert und in einer Leitlinie dokumentiert werden.“

Als weitere wichtige Voraussetzung für eine erfolgreiche ISMS-Umsetzung nennt Model, die „richtigen Rahmenbedingungen zu schaffen“, sprich die zeitlichen, personellen und finanziellen Ressourcen bereitzustellen. Unerlässlich für die operative Umsetzung eines ISMS ist laut Model auch  qualifiziertes Personal – und die Klärung von dessen Aufgaben und Zuständigkeiten. Zentrale Erkenntnis dabei ist für Model: „Ein ISMS ist kein Nebenjob.“