Liebes ISMS
Ich gebe es zu, ich bin schon lange ein Fan von dir und rolle dir immer wieder den roten Teppich aus. Du aber hältst dich lieber im Hintergrund und versteckst dich hinter der Kurzform ISMS, die Aussenstehende vielleicht eher mit der Internationalen Raumstation ISS in Verbindung bringen. Das Scheinwerferlicht überlässt du gerne deinem persönlichen Assistenten, ISO/IEC 27001, der für seine Auftritte in neuem Gewand, heisst für seine Updates, jeweils viel Publicity erhält. Du hingegen bevorzugst die ruhige Bühne der Informationssicherheit, du Informationssicherheitsmanagementsystem oder Information Security Management System.
Nicht nur das Aussprechen deiner vollen Bezeichnung verlangt einen langen Atem, sondern auch dein Aufbau und Betrieb, da machen wir uns nichts vor. Wenn du dann aber deine Rolle in einer Organisation gefunden hast, gewährleistest du Verfügbarkeit, Vertraulichkeit und Integrität von Informationen. Anders gesagt: Du sorgst dafür, dass Informationen vor Verfälschung und ungewünschter Offenlegung sicher und geschützt sind und dass sie mit dem richtigen Inhalt und in der richtigen Form rechtzeitig verfügbar sind. Für die Gewährleistung dieser umfassenden Sicherheit spannst du mit den Disziplinen Technik, Organisation und Recht zusammen. Deren Zusammenspiel will orchestriert und gemanagt werden, am zielführendsten mit System.
Natürlich bist du kein Selbstläufer: Du brauchst die Unterstützung und Förderung der Regie, sprich des Managements des Unternehmens. Damit du in deiner Rolle aufgehen und dich auf neue Gegebenheiten einstellen kannst, musst du dich ständig weiterentwickeln und verbessern. Aktuell fordert dich gerade die Künstliche Intelligenz (KI) heraus. Zudem verändern neue Arten von Cyberangriffen die Bedrohungslage praktisch täglich.
Wer aber schreibt das Drehbuch, um Veränderungen, Bedrohungen und daraus resultierende Risiken strukturiert zu bewerten? Wo findet man Anleitungen, wie man dich behandeln soll, damit du nicht für die goldene Himbeere, sondern für den Oscar als beste Entscheidung in der Kategorie Informationssicherheit nominiert wirst?
Hier kommt ISO/IEC 27001, dein persönlicher Assistent, ins Spiel. Er bietet Unternehmen einen Rahmen: Einerseits für deinen Aufbau bis hin zu deiner allfälligen Zertifizierung. Andererseits für das Risikomanagement und den Schutz vor Bedrohungen, um Informationen optimal und umfassend zu schützen. Anhang A ist in ISO/IEC 27001 integriert und listet Empfehlungen für insgesamt 93 Massnahmen auf. Immer mit dabei ist ISO/IEC Standard 27002, der diese Massnahmen genau erläutert. Genau wie ISO/IEC 27001 hat auch der ISO/IEC 27002 ein Update erfahren und berücksichtigt neu unter anderem auch Themen wie Cloud, Automatisierung und das Erkennen von Risiken für Cybersicherheit und Datenschutz.
Du siehst, deine Entourage tut einiges dafür, dass du als ISMS das Beste aus dir herausholen kannst. Insofern sei ihr das Scheinwerferlicht gegönnt, das du lieber meidest. Für mich bleibst du trotzdem der unangefochtene Star auf der Bühne der Informationssicherheit. Applaus für deine Exzellenz, liebes ISMS.
Reto C. Zbinden hat 1989 Swiss Infosec gegründet. Das Unternehmen mit Sitz in Sursee (LU) gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Es beschäftigt zusammen mit dem Schwesterunternehmen Swiss GRC über 100 Mitarbeitende.