|
In der Praxis haben sich zumeist die vermeintlich einfachen Dinge als schwierig entpuppt.
- Die erste Schwierigkeit ist z.B. oft schon die eindeutige Unterstützung des Managements zu bekommen. Dies Statememt fordert jedoch der ISO27001 Standard, das sog. Management Comittment. Auch in den BSI Grundschutzkatalogen in den sog. "Übergreifenden Aspekten" die generelle Anforderungen stellen, wird dies verlangt.
- Ein weiterer zum Scheitern verurteilter Versuch ist ein Sicherheitskonzept oder eine Zertifizierung nach ISO27001 im Bottom Up Mode durchzuführen. Das wird zu 99,9 % fehlschlagen, da das Management Comittment fehlt. Wenn das Top Management nicht hinter diesem Projekt steht, geht das erfahrungsgemäß schief und verläuft im Sande.
- IT - Sicherheit ist eine bereichs- und abteilungsübergreifende Disziplin, deshalb muss auch die Order für die Umsetzung von ganz oben kommen. Ist eigentlich auch einleuchtend, da das Management für alle Sicherheitsbelange zuständig ist und auch dafür haftet, ob es will oder nicht.
- Empfehlenswert ist auch, dass die Zuständigen für IT-Sicherheit eine Stabsposition inne haben und nicht in Linie sitzen. Es geht in diesem Zusammenhang um fachliche Weisungsbefuginis die abteilungsübergreifend vorhanden sein muss.
- Sollten an genannte Key Points nicht gedacht und diese auch nicht so umgesetzt werden, wird das geplante Projekt ein IT - Sicherheitskonzept mit einem gut funktionierenden Management System zum Scheitern verurteilt sein.
|