ISMS-Einführung
Systematisches Vorgehen beim IT-Sicherheitsgesetz
ISMS-Projekt dauert 12 bis 18 Monate
Ein weiterer Grund für die verzögerte Reaktion vieler Unternehmen: Oftmals scheinen sie die Veröffentlichung der angekündigten Branchenstandards abzuwarten, aus denen noch einmal konkrete Schutzanforderungen hervorgehen werden. Damit jedoch werden sie die Einführung des ISMS sicher nicht rechtzeitig abschließen können. Denn das gesamte Projekt dauert mindestens ein Jahr bis 18 Monate - nicht zuletzt weil das System vor der Zertifizierung bereits einige Monate in Betrieb sein muss. Sinnvoll ist es daher, frühzeitig zu beginnen und die Branchenstandards - dort, wo sie nicht vorhersehbar waren - einzuarbeiten.
Komplexität des Projekts wird unterschätzt
Nicht zuletzt unterschätzen gerade viele große Unternehmen die Komplexität der ISMS-Einführung. Denn für sie hat das Thema oftmals mehrfach Relevanz: Bei Mischkonzernen können mehrere Sparten wie zum Beispiel Energie, Wasser und IT-Services die festgelegten Schwellenwerte erreichen. Bei einem Lebensmittelkonzern sind häufig unterschiedliche Bereiche betroffen: die Nahrungsmittelproduktion ebenso wie das Bestellwesen, die Lagerhaltung, die Logistik und das Abrechnungssystem.
Wird das Unternehmen an einem dieser Punkte angegriffen, können die Verbraucher keine Nahrungsmittel mehr kaufen. Zudem können in Konzernen mehrere Tochtergesellschaften involviert sein. Und auch bei Verträgen mit externen Dienstleistern ist das Unternehmen für das Einhalten des IT-SiG verantwortlich.
Basisfragen vor der ISMS-Einführung
Um in diesem Geflecht die Übersicht zu behalten, ist es wichtig, dass es im Konzern eine zentrale Stelle gibt, die die ISMS-Einführung koordiniert. Erleichtert wird dies, wenn es im Unternehmen eine durchgängige IT- oder Sicherheitsverantwortung gibt - einen CIO oder einen CISO. In jedem Fall aber sollte ein Verantwortlicher benannt werden, der zunächst die Frage nach der Betroffenheit stellen muss:
Welche Standorte des Unternehmens und welche Bereiche genau sind von dem neuen Gesetz betroffen?
Geklärt werden muss jedoch auch: Wie gehen wir bei der Einführung des ISMS vor?
Wie lassen sich Synergieeffekte nutzen und Kosten einsparen?
Verfügt der Konzern über eine durchgängige IT?
Sollte die Zertifizierung von einer zentralen Stelle aus gesteuert und durchgeführt werden? Schließlich sind Insellösungen nicht nur teuer, sie gefährden auch das reibungslose Zusammenspiel unterschiedlicher Bereiche.
Nach der Betroffenheitsanalyse gilt es, die identifizierten Standorte und Unternehmensbereiche genauer zu untersuchen. Mit einem intelligenten Scoping werden diejenigen Bereiche herausgefiltert, die nicht den Kern der kritischen Dienstleistung darstellen. Dabei können oftmals ganze organisatorische Bereiche - wie zum Beispiel das HR- oder das Infrastrukturmanagement - ausgeklammert werden. In der Folge ist der zu zertifizierende Bereich kleiner und es müssen insgesamt weniger Mitarbeiter geschult werden - auch das kann eine enorme Kostenreduzierung bedeuten.