Wie etabliert man ein IT Security Management System?

Unsere Gruppe wurde kürzlich erfolgreich nach ISO 27001 auditiert und zertifiziert. Lesen Sie hier im Interview mit Dario Stöckli, CISO bei der Aebi Schmidt Group und Projektleiter für die ISO 27001-Zertifizierung, über die Herausforderungen eines solchen Projektes, Erfolgsfaktoren und wie die Zukunft des frisch zertifizierten IT Security Management Systems aussieht. 

Dario, was war die grösste Herausforderung im Projekt für Dich als Projektleiter? 

Definitiv das Stakeholder-Management. Die Aufgaben, Anforderungen und Erwartungen aller unterschiedlicher Richtlinien und Teams, sowie auch einzelnen Kolleginnen und Kollegen zu identifizieren, zu analysieren und zu steuern, zugleich auch sicherstellen, dass alle dasselbe Verständnis und den selben Informationsstand haben, ist schon eine sehr grosse Herausforderung.  

Hattest Du mit Widerständen zu kämpfen? 

Nein, im Gegenteil. Wir haben ja bereits vor einigen Jahren mit gruppenweiten und regelmässigen Awareness-Trainings gestartet und diese Arbeit zeigt Früchte. Ich hatte den Eindruck, dass alle verstehen, dass wir das maximal mögliche tun müssen, um die Datensicherheit bestmöglich zu gewährleisten. Bei der Definition, wie wir das tun müssen und können, hat es aber schon intensivere Diskussionen gegeben. Der eine oder andere Prozess schien auf Papier zwar zu funktionieren, die Erfahrung der betroffenen Kolleginnen und Kollegen zeigte dann aber die Schwächen in der praktischen Anwendung auf. Um letztlich funktionierende Prozesse zu etablieren, war während der Implementierungsphase von allen Beteiligten Agilität und Offenheit gefragt. 

Worauf bist Du stolz? 

Auf dass wir das IT Security Management System innert einer doch verhältnismässig kurzen Zeit erfolgreich haben aufbauen und operationalisieren können. Damit zeigen wir als Gruppe auch, dass wir das Thema Informationssicherheit wirklich ernst nehmen, technisch wie organisatorisch.  

Was waren hierzu die kritischen Erfolgsfaktoren? 

Nun, die Organisation, konkret vor allem auch die Geschäftsleitung, hat dem Zertifizierungsvorhaben klar Priorität eingeräumt. Das ist nicht selbstverständlich, denn Prioritäten gibt es immer viele. Es ist uns jedoch gelungen, Absicht und Bedeutung des Vorhabens verständlich zu erläutern. 

Prozesse sind bekanntlich lebendig. Wie geht es nun weiter? 

Ich bin der festen Überzeugung, dass wir mit unserem IT Security Management System ein wichtiges und solides Fundament gelegt haben. Im Kontext solcher Systeme sprechen wir unter anderem von der Reife eines Systems. Es gilt auch in der Zukunft tagtäglich, diese Reife und damit die Sicherheit insgesamt kontinuierlich zu erhöhen, denn letztlich ist der sichere Betrieb unserer Informationssysteme sowie die Datensicherheit heute ein wesentlicher Bestandteil des langfristigen Erfolgs einer Organisation. 

> Zum Blog Beitrag über die ISO 27001 Zertifizierung der Aebi Schmidt Group 

Dario Stöckli, CISO Aebi Schmidt Group
Dario Stöckli, CISO Aebi Schmidt Group