Wir sind immer wieder überrascht, an welchen „Trivialitäten“ die Einführung der ISO 27001 scheitert.
Bei der Einführung eines ISO 27001-Management-Systems stoßen wir auf die gleichen Gegebenheiten, wie vor 15 Jahren bei der ISO 9001.
- Die Unternehmen kennen sich in ihrem Tagesgeschäft aus, es fehlt nur der für eine Zertifizierung notwendige Rahmen.
- Die Unternehmen versuchen im Rahmen der Einführung, Re-Organisationsmaßnahmen umzusetzen.
- Der Detaillierungsgrad ist viel zu hoch, da man sich im Detail natürlich sehr gut auskennt.
Das Ganze führt zu einem enormen Einführungsaufwand (meist Wochen), nicht eingehaltenen Zeitplänen und einer kaum pflegbaren Dokumentation.
Um effizient vorzugehen bietet es sich an, die ISO 27001 tatsächlich als Leitfaden für die Einführung zu betrachten. Dann ist alles einfach.
Der Aufbau und damit die Vorgehensweise ist im vorherigen Artikel beschrieben.
Um dabei effizient zu sein bieten sich folgende Schritte an:
- Kurzinformation der Leitung über Idee der Norm. (2 Std)
- Entscheidung, ob man diesen Weg beschreiten will.
- Nutzung von Standard-Unterlagen. Diese passen vom Grundsatz auf jedes Unternehmen. Wichtig hierbei: Die Norm sagt „tu das“, die Unterlagen sagen „ich tue das“.
- Wenn man sich jetzt durch die Unterlagen arbeitet (sie lernen hier einen neuen „Dialekt“), ist das System stimmig und es gibt wenig Überschneidungen. (5 Tg)
- Relativ schnell kommen Sie an die Stelle, an der Sie Ihre Vorgaben einbinden. Das geschieht idealerweise durch Verweise. Dann behalten Sie und Ihre Mitarbeiter die gewohnte Dokumentation und der Rahmen der ISO 27001 passt. (2 Tg)
- Jetzt gibt es meist noch die generellen ISO-Themen. Internes Audit, Management-Review, Ziele, Risiko-Betrachtung, … . Sie werden feststellen, dass die hier verwendete Systematik leicht umzusetzen ist und Vorteile in der Dokumentation bietet. (2 Tg)
- Erst wenn diese Schritte umgesetzt sind, sollten Sie mit der Re-Organisation beginnen. Vorteil: Sie haben eine Systematik die auf die Anpassung der Organisation auf die sich ändernden Rahmenbedingungen ausgerichtet ist. Die Re-Organisation ist der erste große Test hierfür.
Fazit
Wenn man sich von der Norm als Leitfaden helfen lässt, ist die Einführung der ISO 27001 sehr gut umsetzbar.