Herausforderungen

Zu Beginn gab es ganz viele Fragen und Unklarheiten in Bezug auf das Thema ISMS und den BSI Maßnahmen aus dem IT Grundschutzkatalog. Es bestanden auch unterschiedliche Auffassungen über Detailgrad und Umfang der zu erstellenden Dokumente.

Mit einem Einführungsworkshop haben wir das Thema näher beleuchtet, die Fragen erfasst und angefangen thematisch zu strukturieren. Vor allem war es eine wichtige Aufgabe, alle emotional, inhaltlich abzuholen und das Ziel & den Nutzen eines ISMS aufzuzeigen. Danach haben wir den Geltungsbereich (Scope) des ISMS definiert, den das Team als ISMS Teilprozess verantwortet.

Als nächstes haben wir uns auf eine flexible und transparente Arbeitsweise geeinigt und festgehalten, dass ISMS kein Projekt mit einem Startpunkt und einem definierten Endpunkt ist, sondern ein kontinuierlicher Optimierungs-Prozess, die sicherheitsrelevanten Dokumente, Richtlinien und Konzepte klaren Regeln und Verantwortlichkeiten zuzuordnen.

BSI Grundschutz oder ISO27001

Bereits zu Beginn stand fest, dass eine ISO 27001 Zertifzierung nach BSI Grundschutz erfolgen soll. Aus diesem Grund habe ich mich für eine Struktur und einen Aufbau der ISMS Dokumente entschieden, in der alle relevanten Steuerungsfelder des ISMS Prozesses berücksichtigt wurden. Zudem wurden sowohl eine Zuordnung der BSI Maßnahmen-Bausteine als auch eine Zuordnung der ISO27002 Controls hinterlegt.

Dadurch haben wir es geschafft, beide Welten (IT Grundschutz und ISO27001 Prozesse) miteinander zu verbinden. Für diese Vorgehensweise gab es bei einem internen Zwischen-Audit im Mai 2017 eine äußerst positive Reaktion des Auditors.

Anfängliche Fragestellungen

Im weiteren Verlauf der durchgeführten Interviews konnten die Fragen ergebnisorientiert beantwortet werden. Auf Basis der erzielten Zwischenergebnisse wurden dann die nächsten Termine festgelegt, strukturiert und vorbereitet. Als diese erste Hürde geschafft war, wurde der Umgang mit dem Thema ISMS für alle griffiger und es fing an in den Köpfen zu arbeiten.

Von Interview zu Interview war eine deutliche Entspannung zu spüren und der Umgang mit dem Thema ISMS wurde vertrauter.

Zudem hat es sich als durchaus erfolgreich erwiesen, agil vorzugehen und bei Bedarf die erstellten Dokumente gemeinsam zu revisonieren. Dadurch wurde gleichzeitig eine Art "Qualitätssicherung" durchgeführt.

Tooleinsatz

Die "Toolfrage" wurde bewusst erst einmal hinten angestellt. Im Fokus stand die strukturierte Erstellung aller geforderten Dokumente (technische und organisatorische Maßnahmen) sowohl mit Bezug auf die BSI Bausteine aus dem IT-Grundschutzkatalog, als auch mit den für die gelebte Praxis relevanten Inhalten. Da bereits eine etablierte Collaboration-Plattform betrieben wird, haben wir diese Werkzeuge eingesetzt und eine maßgeschneiderte ISMS Lösung erstellt.

Wichtig dabei war, die Dokumentation auch über Browser plattformunabhängig verwalten zu können. Auch wurden die vom Konzern vorgegebenen Zugriffe auf die Dokumente umgesetzt. Jedem Dokument ist ein Verantwortlicher zugeordnet, jedes Dokument enhält ein Gültigkeitsdatum und wird jährlich zur Wiedervorlage an den Verantwortlichen und die zusätzlich  hinterlegten Adressen geschickt. Auch eine Volltextsuche für schnelles und einfaches Auffinden von Dokumenten ist implementiert worden.

Status der kontinuierlichen ISMS Optimierung

Inzwischen wurden alle geforderten ISMS Dokumente (TOMs) mit Bezug auf den Scope und die BSI Maßnahmen-Bausteine erstellt. Durch den in der Anwendung hinterlegten jährlichen Wiedervorlageprozess wurden bereits automatisch Dokumente zum Review den Verantwortlichen vorgelegt und mussten so erneut auf Aktualität überprüft und freigegeben werden.

Das BSI Audit nach ISO27001 Grundschutz wurde im Januar 2018 erfolgreich absolviert. Zwischenzeitlich haben wir auch alle Dokumente auf das neue BSI IT-Grundschutzkompendium (Verfügbar seit Februar 2018) umgestellt. Sie enthalten nun beide Bezüge und können über die Suchfunktion entsprechend gefunden werden.

Auch für die seit 25. Mai 2018 in Kraft getretene DSGVO wurden relevante Dokumente hinzugefügt, ergänzt und überarbeitet.

Fazit

Das Arbeiten mit dem ISMS hat sich komplett gewandelt. Alle haben den Nutzen erkannt und viele haben sogar inzwischen Spaß am Dokumentieren gefunden :)

Vielmehr hat sich zwischenteitlich für alle Beteiligten der Einsatz des ISMS als sinnvolle und zentrale Informationsquelle für alle wichtigen Geschäftsprozesse etabliert! Es wurde auch wohlwollend festgestellt, dass es in erster Linie für die tägliche Arbeit eine wichtige Rolle spielt.

Es hilft vielmehr dabei, die richtigen Prioritäten zu setzen und zu erkennen, wo es tatsächlich Optimierungspotential in der IT-Infrastruktur gibt; gerade im Kontext der IT-Sicherheit und der DSGVO. Der Weg über den "Schmerz" in die "Entspannung" im Umgang mit dem Thema ISMS ist das Ziel.

Die kontinuierliche Arbeit geht weiter und die nächsten Arbeitspakete sind definiert...