Als ISMS-Verantwortlicher hatte ich vor kurzem unser jährliches ISMS-Zwischenaudit. Diese Audits sind immer wieder eine wertvolle Gelegenheit, um unsere Informationssicherheit zu überprüfen und zu verbessern. Auch dieses Mal habe ich wieder wichtige Erkenntnisse gewonnen, die ich gerne mit euch teilen möchte. Hier sind die drei zentralen Learnings, die ich aus dem Audit mitgenommen habe:

Lieferantenmanagement ist ein echter Gamechanger

Eines der wichtigsten Learnings aus dem Audit war die Bedeutung eines effektiven Lieferantenmanagements. Mir wurde wieder bewusst, wie unterschiedlich die Risiken sind, die von unseren verschiedenen Lieferanten ausgehen. Eine Putzfirma, ein OT-Softwareanbieter oder ein Büromateriallieferant – jeder dieser Lieferanten bringt seine eigenen spezifischen Sicherheitsherausforderungen mit sich.

  • Die Herausforderung: Oftmals neigen wir dazu, Lieferanten über einen Kamm zu scheren. Wir wenden möglicherweise die gleichen Sicherheitsanforderungen auf alle an, ohne die individuellen Risiken zu berücksichtigen. Dies kann dazu führen, dass wir potenzielle Schwachstellen übersehen und uns unnötigen Risiken aussetzen.
  • Meine Erkenntnis: Ein differenziertes Lieferantenmanagement ist entscheidend. Wir müssen unsere Lieferanten nach Risikokategorien einteilen und entsprechende Sicherheitsanforderungen definieren. Dies beinhaltet die Überprüfung der Sicherheitsmassnahmen unserer Lieferanten, die Vereinbarung von Sicherheitsstandards in Verträgen und die regelmässige Überwachung der Lieferantenbeziehungen.
  • Die Umsetzung: Wir haben unsere Prozesse für das Lieferantenmanagement überarbeitet, um diese Differenzierung zu gewährleisten. Wir führen Risikobewertungen für alle Lieferanten durch, definieren spezifische Sicherheitsanforderungen und führen regelmässige Audits durch, um die Einhaltung dieser Anforderungen zu überprüfen.

ISMS ist keine IT-Angelegenheit – es betrifft das ganze Unternehmen

Ein weiteres wichtiges Learning war die Erkenntnis, dass das ISMS keine reine IT-Angelegenheit ist. Viel zu oft wird die Verantwortung für die Informationssicherheit in die IT-Abteilung abgeschoben. Dabei betrifft Informationssicherheit alle Geschäftsprozesse und alle Bereiche des Unternehmens.

  • Die Herausforderung: Wenn das ISMS als reine IT-Angelegenheit betrachtet wird, besteht die Gefahr, dass andere Bereiche des Unternehmens nicht ausreichend einbezogen werden. Dies kann dazu führen, dass wichtige Sicherheitsaspekte in diesen Bereichen vernachlässigt werden.
  • Meine Erkenntnis: Ein ganzheitlicher Ansatz ist unerlässlich, um die Informationssicherheit im gesamten Unternehmen zu erhöhen. Informationssicherheit muss in die Unternehmenskultur integriert werden und von allen Mitarbeitern verstanden und gelebt werden.
  • Die Umsetzung: Wir haben unsere Kommunikations- und Schulungsmassnahmen intensiviert, um das Bewusstsein für Informationssicherheit im gesamten Unternehmen zu schärfen. Wir führen regelmässige Schulungen für alle Mitarbeiter durch, um sie über ihre Verantwortung für die Informationssicherheit zu informieren.

Ohne Asset-Inventar, ein Blindflug!

Das Audit hat mir wieder deutlich vor Augen geführt, wie wichtig ein vollständiges Asset-Inventar als Basis für ein solides Risikomanagement ist. Wer nicht weiss, welche Informationswerte er schützen muss, kann keine fundierten Sicherheitsmassnahmen umsetzen.

  • Die Herausforderung: Ohne ein umfassendes Asset-Inventar ist es unmöglich, die tatsächlichen Risiken für unsere Informationswerte zu bewerten. Wir wissen nicht, welche Informationen wir haben, wo sie gespeichert sind und wer Zugriff darauf hat. Dies führt zu einem „Blindflug“ bei der Umsetzung von Sicherheitsmassnahmen.
  • Meine Erkenntnis: Ein vollständiges und aktuelles Asset-Inventar ist die Grundlage für ein effektives Risikomanagement. Wir müssen alle unsere Informationswerte identifizieren, klassifizieren und bewerten. Dies beinhaltet auch die Identifizierung der Systeme, Anwendungen und Infrastrukturen, die diese Informationen verarbeiten, speichern oder übertragen.
  • Die Umsetzung: Wir haben unser Asset-Inventar überarbeitet. Wir verwenden ein zentrales Tool, um unser Asset-Inventar zu verwalten, und führen regelmässige Überprüfungen durch, um sicherzustellen, dass es vollständig und aktuell ist.

Fazit

Das ISMS-Zwischenaudit hat mir wieder einmal gezeigt, wie wichtig einige grundlegende Punkte für die Informationssicherheit sind. Ein effektives Lieferantenmanagement, ein ganzheitlicher Ansatz für das ISMS und ein vollständiges Asset-Inventar sind entscheidend, um unsere Informationswerte zu schützen und die Sicherheit unseres Unternehmens zu gewährleisten. Diese Learnings werden uns helfen, unsere Informationssicherheit weiter zu verbessern und unsere Risiken zu minimieren.