Im ersten Beitrag dieser Reihe haben wir aufgezeigt, wie kleine Unternehmen ein ISMS nach ISO 27001 trotz knapper Ressourcen risikobasiert und angemessen einführen können. Sind Scope und Risikostrategie definiert, stellt sich jedoch eine weitere zentrale Frage: Sind wir als Organisation in der Lage, die erforderlichen Abläufe dauerhaft strukturiert zu steuern?

In kleinen Unternehmen läuft oftmals vieles über direkte Kommunikation sowie durch situativ und schnell getroffene Entscheidungen. Ein Managementsystem verlangt jedoch wiederholbare, nachvollziehbare und gesteuerte Prozesse. Diese formale Prozessstruktur ist kleinen Organisationen häufig fremd und wird mitunter als bürokratisch empfunden.

Kleine Unternehmen müssen daher oftmals erst lernen, solche Abläufe strukturiert einzuführen und dauerhaft umzusetzen (Prozessfähigkeit). Diese Fähigkeit zur verlässlichen Prozessumsetzung ist im Kontext eines ISMS von zentraler Bedeutung.

Welche Prozesse tatsächlich erforderlich sind

Vor diesem Hintergrund stellt sich die Frage, welche Prozesse im Rahmen eines ISMS zwingend beherrscht werden müssen. Ein kleines Unternehmen benötigt keine umfangreiche Prozesslandschaft. Bestimmte Kernabläufe sind für ein ISMS jedoch unverzichtbar. Kern eines ISMS ist der sogenannte PDCA-Zyklus (Plan  Do  Check  Act): Es ist regelmäßig eine systematische Risikoanalyse durchzuführen, auf deren Grundlage müssen Maßnahmen festgelegt und deren Umsetzung nachverfolgt werden. Darüber hinaus ist die Wirksamkeit des Managementsystems durch interne Audits und Management Reviews zu überprüfen. Im Rahmen dessen identifizierte Abweichungen sind durch geeignete Verbesserungsmaßnahmen zu beseitigen.

Die Durchführung dieser Prozessschritte kann in großen Organisationen eine komplexe Angelegenheit darstellen, da verschiedene Abteilungen eingebunden und zahlreiche Schnittstellen koordiniert werden müssen. In kleinen Unternehmen ist dies regelmäßig deutlich überschaubarer. Risikoanalyse, Maßnahmenverfolgung und Managementbewertung können häufig im Rahmen weniger, gut vorbereiteter Besprechungen durchgeführt werden.

Entscheidend ist nicht eine umfangreiche Prozessdokumentation, sondern dass der PDCA-Zyklus bewusst und regelmäßig durchlaufen wird. Ein schlank gestalteter, aber konsequent angewendeter Ablauf genügt. Gerade die kurzen Kommunikations- und Entscheidungswege kleiner Organisationen können hierbei sogar ein Vorteil sein.

Über diese Steuerungsprozesse hinaus können sich zusätzliche Abläufe aus den im Rahmen der Risikobehandlung ausgewählten Kontrollen des Annex A ergeben. Bestimmte Kontrollen, beispielsweise im Bereich Incident Management, Lieferantenmanagement oder Change Management, setzen mitunter strukturierte und klar definierte Prozesse voraus.

Auch dabei gilt jedoch, dass nicht jede Kontrolle einen umfangreich dokumentierten Prozess erfordert. In kleinen Organisationen kann es ausreichend sein, Verantwortlichkeiten eindeutig festzulegen und ein nachvollziehbares Vorgehen zu beschreiben. Entscheidend ist, dass das angestrebte Ergebnis strukturiert erreicht und im Audit belegt werden kann.

Wie bereits im ersten Beitrag dieser Blog-Reihe erörtert wurde, schafft hier ferner eine sorgfältige und risikobasierte Auswahl der anzuwendenden Kontrollen Abhilfe. Es müssen nur diejenigen Kontrollen umgesetzt werden, die zur Behandlung der identifizierten Risiken erforderlich sind. Auch dies trägt dazu bei, das ISMS prozessual schlank und angemessen zu halten.

Prozesse pragmatisch gestalten

Die Herausforderung beim Einführen der Prozesse besteht nicht darin, einen Prozess zu Papier zu bringen, sondern diesen tatsächlich in der Organisation zu verankern und zu „leben“. Damit dies gelingt, müssen Prozesse zur Größe, Struktur und Kultur des Unternehmens passen. Gerade in kleinen Organisationen, die von kurzen Entscheidungswegen und informeller Abstimmung geprägt sind, stoßen übermäßig formalisierte oder komplexe Abläufe schnell auf Ablehnung. Mithin ist ein pragmatisches Vorgehen besonders wichtig.

Um dies zu erreichen, ist einerseits wichtig, nicht zu kompliziert zu denken. Wird ein Prozess auf das tatsächliche Notwendige reduziert und bewusst einfach gehalten, fügt er sich deutlich besser in die bestehende Unternehmenskultur ein und wird eher befolgt. Dazu lohnt es sich, gezielt „Hirnschmalz“ in die pragmatische Ausgestaltung der Abläufe zu investieren. Die Suche nach einer möglichst einfachen, funktionierenden Lösung kann etwas Zeit in Anspruch nehmen, zahlt sich jedoch aus. Schnell übernommene Templates oder standardmäßig formalistische Vorgaben führen demgegenüber häufig dazu, dass Prozesse im Alltag umgangen werden und Frustration entsteht. Sie schaden der Informationssicherheit gegebenenfalls mehr als sie nutzen.

Dabei sollte gerade zu Beginn gelten: Disziplin geht vor Perfektion. Insbesondere wenn das Arbeiten entlang von formalisierten Prozessen für die Organisation an sich bereits eine Umstellung ist, sollte diese schrittweise herbeigeführt werden. Ein einfacher Ablauf, der tatsächlich regelmäßig angewendet wird, ist wirksamer als ein alle Eventualitäten berücksichtigender Prozess, der nur auf dem Papier existiert.

Des Weiteren muss sichergestellt sein, dass die eingeführten Prozesse einen für alle Beteiligten sichtbaren Mehrwert schaffen. Dies ist auch eine Frage der begleitenden Kommunikation: Wird der Sinn der Abläufe nachvollziehbar kommuniziert und werden Verbesserungen erkennbar, steigt die Akzeptanz erheblich.

Fazit

Ein ISMS nach ISO 27001 stellt kleine Unternehmen nicht vor unlösbare Aufgaben. Die Herausforderung liegt weniger in der Anzahl möglicher Maßnahmen als in der Frage, ob strukturierte Abläufe tatsächlich im Alltag verlässlich angewendet werden. Es bedarf insbesondere zu Beginn keiner umfangreichen Prozesslandschaft, sondern weniger gut durchdachter Steuerungsprozesse, die regelmäßig und korrekt durchlaufen werden.

Vorgaben und Prozesse sollten nicht unreflektiert aus Vorlagen übernommen werden, sondern zur Größe, Struktur, Kultur und den bestehenden Strukturen des jeweiligen Unternehmens passen.

Gelingt es, diese wenigen Prozesse schlank zu gestalten und konsequent anzuwenden, verliert das ISMS seinen bürokratischen Charakter und wird auch für kleine Unternehmen zu einem praktikablen Instrument zur Gewährleistung der Informationssicherheit.

Nächstes Thema: 3. Organisatorische Führung des ISMS / CISO-Rolle