Tanzen und Informationssicherheit – wie passt das zusammen?
Als Berater und CISO habe ich Jahre in der IT- und Informationssicherheit verbracht. Dabei habe ich auch Projekte scheitern sehen.
Aber warum?
Ein Erstaudit zur ISO 27001 ist kein Hexenwerk. Mit einem gut durchdachten Plan kann man das Ziel schnell erreichen. Wichtig zu wissen ist, dass ein Erstaudit in der Regel nur das vorhandene ISMS verifiziert.
Es überprüft und bewertet das Informationssicherheitsmanagementsystem (ISMS) eines Unternehmens. Es soll festgestellt werden, ob die implementierten Prozesse und Maßnahmen den Anforderungen der ISO 27001-Norm entsprechen.
Dies umfasst die Überprüfung von Dokumenten, Mitarbeiterinterviews und eine Inspektion der entsprechenden Systeme.
Nach dem Erstaudit folgen weitere Audits, um das erlangte Zertifikat zu behalten. In diesen prüft ein Auditor, ob die Informationssicherheit “gelebt” wird. Dafür möchte man Nachweise sehen, die das dokumentieren.
Beim Tanzen, wie auch in vielen anderen Sportarten, beginnt man in der Regel mit dem “Grundschritt”.
Dies entspricht der ersten Phase der Einführung.
Erinnerst du dich noch daran, wie du mitgezählt hast?
1-2-3, 4-5-6 oder 1-2, 3-4, 5-6, 7-8.
Es sah nicht besonders schön aus und mancher Fuß hat sehr gelitten.
Dann folgt die wichtige Phase – das ständige und konsequente Training.
Es braucht einen starken Willen und viel Disziplin, um die nächste Stufe zu erreichen.
In einem Unternehmen geht das von der obersten Leitung aus.
Niemand sonst hat die Möglichkeit, die Richtung für das gesamte Unternehmen vorzugeben.
Wenn ich an meine ersten Schritte zurückdenke, war das die anstrengendste Zeit.
Danach kommt die Phase, in der man in der Lage ist, “richtig” zu tanzen.
Man hört auf die Musik, schwingt sich auf den Partner ein und tanzt mit Gefühl und Herz, nicht mehr mit dem Verstand.
Wenn ein Unternehmen dieses Stadium der Informationssicherheit erreicht, dann hat man es oft geschafft.
Die Aufwände gehen zurück. Was vorher die Prozesse eher gestört hat, wurde zu einem integralen Bestandteil und läuft einfach mit.
Wenn du mich fragst, wie du am einfachsten eine Zertifizierung in der Informationssicherheit erreichst, dann ist die Antwort dazu sehr einfach.
Du musst es wollen!
Danach musst du viel üben und wenn das geschehen ist, kannst du die ISO “tanzen”.