Lektion 1

5 min

Start

Erhalte in der ersten Lektion einen Überblick über die Inhalte und die Lernziele und erfahre was besonders wichtig ist bei der Etablierung eines ISMS gemäß ISO 27001.

Einleitung

Zur Etablierung eines wirksamen und zertifizierungsfähigen ISMS ist es notwendig neue Prozesse einzuführen, eine umfangreiche Dokumentation zu schaffen und das Sicherheitsbewusstsein der Mitarbeiter zu steigern. Eine Herausforderung gerade für kleinere Unternehmen, bei denen Ressourcen oft knapp bemessen sind.

Der Markt für Sicherheitsexperten, die die genannten Aufgaben im Unternehmen übernehmen können, ist überschaubar – um es positiv auszudrücken. Eine kostenintensive, externe Beratung und teure ISMS-Tools scheinen unumgänglich. Mit Byght.io zeigen wir einen alternativen Weg auf und geben Startups und KMUs einen digitalen Coach an die Hand, der dabei hilft, ein effizientes und angemessenes ISMS zu etablieren. Getreu dem Motto: „So viel wie nötig, so wenig wie möglich”. Das bedeutet nicht, auf angemessene Sicherheit zu verzichten, jedoch sollte ein ISMS dem Kerngeschäft nicht im Wege stehen, sondern dabei unterstützen, es so sicher wie möglich zu gestalten.

Grundsätzlich setzen wir beim Aufbau und Betrieb eines ISMS immer auf eine kollaborative und agile Arbeitsweise. Weniger komplexe Tools, weniger individuelle Behelfslösungen in riesigen Excel-Sheets.

Wichtig ist es, anzufangen und nicht den scheinbar unüberwindbaren Berg einer ISO-27001-Zertifizierung vor sich herzuschieben.

Schließlich geht es nicht darum, bereits beim Zertifizierungsaudit bei 100% zu sein, sondern den Reifegrad des ISMS kontinuierlich zu verbessern. Denn eines ist ganz klar: 100% Sicherheit gibt es nicht. Bei dem Betrieb eines ISMS sollten in erster Linie Verbesserungsmöglichkeiten identifiziert und strukturiert umgesetzt werden. Wenn dem Auditor dieser Antrieb im Audit nachgewiesen werden kann, ist bereits vieles erreicht.

Neben einer Zertifizierung nach ISO 27001 ist die stetig steigende Bedrohungslage ein weiteres gutes Argument, mehr Zeit und Gedanken in die Sicherheitsstruktur des Unternehmens zu stecken. Wenn es gelingt, durch die Implementierung angemessener technischer sowie organisatorischer Sicherheitsmaßnahmen Unternehmensschäden wie Imageverlust, Datenverlust sowie Ausfälle im Geschäftsbetrieb zu verringern, ist nicht nur der Auditor, sondern auch das eigene Management glücklich. Ein gutes ISMS ist in erster Linie also wirksam, und erst dann geht es darum, alle Normanforderungen zu erfüllen. Ein guter Auditor sieht das und lässt es in die Bewertung einfließen. Wie gesagt, verbessern kann man sich immer noch – spätestens bis zum nächsten Überwachungsaudit.

Aber natürlich gibt es dennoch einige „harte Fakten”, die nötig sind, um ein ISMS-Audit nach ISO 27001 zu bestehen. Die wirklich nötigen und wirksamen werden in den folgenden Lektionen dargestellt und beschrieben. In Lektion 2 erfährst du alles über den Aufbau und die Anforderungen der ISO 27001.