Die ISO und die Cloud …

… oder „die Schöne und das Biest“?
 
Um ein Unternehmen für eine Zertifizierung gemäß DIN EN ISO/IEC 27001:2017 vorzubereiten, reicht es nicht, sich einfach einen Satz von Dokumenten im nächsten Online Store zu bestellen.
 
Tatsächlich wird man vielleicht formal damit das erste Audit bestehen. Danach wird es meiner Meinung nach aber zu Problemen kommen.
 
Ich hatte selbst schon Kunden, die eine andere, die ISO 9000 eingeführt haben.
 
Diese bekamen von ihrem Berufsverband nicht nur das fertige Handbuch, sondern auch gleich den Auditoren gestellt.
 
Der kam dann auch beim ersten Wiederholungsaudit. Es gab ein paar Mängel, aber ansonsten war er zufrieden.
 
Danach entschied sich der Kunde „spontan“, das alles sein zu lassen, weil es zu viel Arbeit machte.
 
Besonders da ein anderer Auditor gekommen wäre, der wahrscheinlich manche Dinge nicht so „wohlwollend“ akzeptiert hätte.
 
Sorry, aber da hat jemand überhaupt nicht verstanden, um was es bei diesen ISO Zertifizierungen wirklich geht!
 
Am Anfang ist natürlich Arbeit zu investieren, aber irgendwann sollten die Grundgedanken hinter der Norm bei allen in Fleisch und Blut übergegangen sein.
 
Dann heben sich die Vorteile von den Nachteilen positiv ab und man erntet die Fürchte der Investition.
 
Allerdings gibt es in meinem Beispiel noch einen weiteren, gravierenden Fehler.
 
Um eine „ISO“ leben zu können, muss diese auf das Unternehmen zugeschnitten werden.
 
Das ist etwas, was die Norm explizit so vorsieht. Das nicht zu nutzen ist mehr als fahrlässig.
 
Ich selbst hatte auch gerade den Fall, dass ein Berater einen kompletten Satz englischer ISO Dokumente – wohl von einem zuvor zertifizierten Kunden – vorgelegt hat.
 
„Die sind alle schon einmal zertifiziert. Also kein Problem – das läuft so durch“ war seine Begründung.
 
„Warum in englisch, wenn das doch ein deutsches Unternehmen ist“, hatte ich gefragt.
 
Die Antwort lautete „es könnte ja sein, dass man die ISO international benötigt“.
 
Also, solche Berater braucht die Welt wirklich nicht, weil am Ende der Kunde sehr schnell Probleme bekommen wird, wenn er versucht das zu leben, was er an Vorgben „übernommen“ hat.
 
Besonders speziell wird das Thema, wenn man ein agiles „Cloud Only“ Unternehmen für die Zertifizierung vorbereitet.
 
Da kann ich nicht „irgrendwelche Dokumente“ von „irgendeinem schweizer Unternehmen“ einfach so übernehmen, nur „weil die schon einmal erfolgreich zertifiziert wurden“.
 
Warum?
 
Was fange ich mit Themen wie „Brandschutz“, „Zugang zu Serverräumen“ oder „Löschen von mobilen Datenträgern“ an, wenn es die gar nicht gibt?
 
In der Cloud brauche ich ein Zugangsgerät, eine Internetverbindung und den Rest macht der Anbieter.
 
Bei diesem Projekt durfte ich sehr viel lernen. Auch, und gerade, wie man die Vorgaben der Norm interptretieren muss, damit sie auf ein ganz anderes System passen.
 
Lässt man sich gedanklich darauf ein, was die „Norm“ eigentlich mit einer bestimmten Vorgabe erreichen möchte, dann findet man die Entsprechungen sehr schnell.
 
In der Cloud brauche ich keine USB-Sticks oder „mobile Datenträger“. In der Cloud verwende ich dafür eine „Freigabe“.
 
Also muss ich die Richtlinie 8.3.x
Handhabung von Datenträgern -> Ziel: Die unerlaubte Offenlegung, Veränderung, Entfernung oder Zerstörung von Information, die auf Datenträgern gespeichert ist, wird unterbunden
aus dem Anhang A aus einem anderen Blickwinkel betrachten.
 
Ich muss keine Datenträger löschen, aber wer kümmert sich eigentlich darum, einmal erteilte Freigaben für externe Nutzer wieder zu löschen?
 
Hand auf’s Herz – haben Sie eine Überblick und / oder schon einmal eine Freigabe nach Gebrauch wieder gelöscht?
 
Was, wenn ich einen Ordner freigegeben habe und dort hinein kommen später auch Dateien, die gar nicht für den ursprünglichen Empfänger gedacht waren?
 
Jetzt sind sie gedanklich auf dem richtigen Weg und denken „in der Cloud“.
 
Ja – ich muss ein System haben, um solche Freigaben zu erkennen, diese z.B. zeitlich begrenzen oder mich darum kümmern, dass die Freigaben auch wieder gelöscht werden.
 
So steht das nicht in der Norm geschrieben.
So funktioniert es aber, wenn man einem Unternehmen nicht nur einen Stempel, sondern auch den richtigen Umgang mit der „Norm“ vermittelt.
 
Sollte also ein windiger Berater kommen und Ihnen vorschlagen, einfach einen bestehenden „Bausatz“ zu übernehme, dann denken Sie darüber nach, ob das der richtige Weg ist.
 
Sonst wird aus der „Schönen“ schnell ein „Biest“…