Über die Einsamkeit von Information Security Management
Subtitel: So verlockend Insellösungen in einer Zeit voller Reiseeinschränkungen auch klingen mögen – hier ein paar Gegenargumente
Stiefkind Information Security Management
Information Security Management wird in Unternehmen oft als getrennte Disziplin behandelt. Dabei ist die Integration von Security Themen im organisatorischen Bereich genauso wichtig wie im technischen Bereich. Die Zusammenführung von Managementsystemen kann aber viel Aufwand bedeuten; und gewisse Wachstumsschmerzen, wenn zusammenwächst, was separat etabliert wurde.
Internationale Standards als Basis
Integrierte Managementsysteme (IMS) betrachten Anforderungen aus verschiedenen Themenbereichen gemeinsam. Die Grundlage für integrierte Managementsysteme ist in vielen Fällen der internationale Standard ISO 9001 für Qualitätsmanagement. Dieser ist einer der am weitesten verbreiteten ISO Standards und inhaltlich breit aufgestellt, was die Integration anderer Managementsysteme erleichtert. In der Praxis folgt nach der Etablierung eines Qualitätsmanagementsystems oft die Implementierung von ISO 27001 (Informationssicherheitsmanagementsystem), ISO 14001 (Umweltmanagementsystem) oder ISO 20000-1 (Service Managementsystem).
Vorteile durch Integration
Wo identische oder ähnliche Anforderungen vorhanden sind, können Synergieeffekte genutzt und somit Ressourcen gebündelt werden. Dadurch wird das Management schlanker und effizienter. Es entsteht aber noch ein weiterer Vorteil: Kombinierte Audits für integrierte Managementsysteme sind in der Regel 20 bis 30% kürzer als separate Audits und dementsprechend auch mit weniger Kosten verbunden.1 Sie erlauben eine gesamtheitliche Sicht auf das Unternehmen und zeigen die Wechselwirkungen zwischen den Managementsystemen auf.
Kombinierte Audits für alle?
Trotz der Vorzüge von kombinierten Audits ist auch die gezielte Durchführung von Einzelaudits teilweise empfehlenswert. Neu eingeführte Managementsysteme können davon profitieren, getrennt von anderen unter die Lupe genommen zu werden. AuditorInnen fokussieren sich auf einen Bereich und finden Schwächen und spezifische Verbesserungspotentiale. Sobald das Managementsystem einen höheren Reifegrad erzielt hat, empfiehlt es sich, die Vorteile von kombinierten Audits voll auszunutzen.
Harmonisierung der ISO Standards
Die unterschiedlichen Strukturen der ISO Standards haben die Zusammenführung in ein integriertes Managementsystem erschwert. Deswegen hat die Internationale Organisation für Standardisierung (ISO) eine Angleichung ihrer Standards in die Wege geleitet.
Seit 2012 existiert der Annex SL. Dieser beschreibt eine High-Level Struktur, der alle ISO Standards zugrunde liegen sollen. Zudem enthält er Definitionen und Kerntexte, die über die Gesamtheit der ISO Standards gilt. Die bestehenden Normen werden nach und nach vereinheitlicht, damit sie leichter zu verstehen, implementieren und integrieren sind. Die aktuellen Versionen von ISO 9001, 20000-1, 22301 und 27001 wurden bereits gemäß des Annex SL angepasst.
Überschneidungen am Beispiel ISO 9001, 20000-1 und 27001
Die größten Überschneidungen finden sich in den Anforderungen an die Managementsysteme selbst, also in den nicht themenspezifischen Anforderungen. So werden zum Beispiel in allen ISO Managementsystemstandards Risikomanagement und die Festlegung von Rollen und Verantwortlichkeiten gefordert. In den folgenden weiteren Bereichen können Synergien genutzt und Ressourcen gebündelt werden:
- Zielsetzung und –bewertung
- Nichtkonformität und Korrekturmaßnahmen
- Fortlaufende Verbesserung
- Managementbewertung
- Internes Audit
- Dokumentenmanagement
- HR Management
Doch auch in den themenspezifischen Anforderungen der Normen finden sich Gemeinsamkeiten. Zum Beispiel behandeln ISO 2000-1 und 27001 Incident und Change Management, während sowohl ISO 9001 als auch 20000-1 Kundenzufriedenheit und (Service-)Qualität betrachten.
Gemeinsam statt einsam
Der Trend geht weg von der isolierten Betrachtung des Information Security Management hin zu Integrierten Managementsystemen (IMS), um eine gesamtheitliche Sicht auf das Unternehmen zu erhalten. Dadurch können Ressourcen gebündelt und Synergien genutzt werden, mit dem Ergebnis eines effizienteren Managements, kürzeren Audits und einer erheblichen Kostenersparnis.