Bibliografische Information der Deutschen Bibliothek
Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliothek; detaillierte bibliografische Daten sind im Internet über www.dnb.de abrufbar.
© 2017 Jacqueline Naumann
Das vorliegende Werk ist in all seinen Teilen urheberrechtlich geschützt. Alle Rechte vorbehalten, insbesondere das Recht der Übersetzung, des Vortrags, der Reproduktion, der Vervielfältigung auf fotomechanischen Medien.
Herstellung und Verlag: BoD – Books on Demand GmbH, Norderstedt.
ISBN 978-3-74607-105-3
1. Auflage, 2017
Autor: Jacqueline Naumann
Einbandgestaltung: Jacqueline Naumann
Illustration: Florentine Naumann
Liebe Leserin, lieber Leser,
vielen Dank, dass Sie sich für dieses Buch entschieden haben.
Informationssicherheit ist derzeit ein brennendes Thema, das vor allem durch das neue IT-Sicherheitsgesetz noch einmal an Fahrt aufgenommen hat.
Ich hoffe, ich kann Ihnen, liebe Informationssicherheitsbeauftragte und lieber Informationssicherheitsbeauftragter mit diesem Buch Unterstützung bieten, damit Sie Ihre neuen Aufgaben mit Eifer und Begeisterung angehen können.
Herzlichst, Ihre Jacqueline Naumann
Trainerin, Beraterin, Auditorin der iXactly IT- und Systemberatung
iXactly ist Ihr Dienstleister für Seminare, Beratung und Audits für Ihr ISMS.
Gostritzer Straße 61, 01217 Dresden
jacqueline.naumann@ixactly.com, www.ixactly.com
Vielen Dank
an Florentine Naumann für die Illustrationen im Buch!
Ihre neuen Aufgaben als ISB in greifbarer Nähe
Bei einer Ernennung oder Berufung zum Informationssicherheitsbeauftragten kommt es häufig vor, dass der berufene Mitarbeiter vor lauter Überraschung aus allen Wolken fällt.
Auf der einen Seite stehen die Freude und der Stolz, dass seine Vorgesetzten ihn für würdig erachten, diese Aufgabe erfüllen zu können. Auf der anderen Seite steht der Schock darüber, dass man ab sofort zusätzliche und vor allem unbekannte Aufgaben auf dem Tisch haben wird und damit scheitern könnte.
Die meisten neuen ISBs befürchten, dass das Kollegium auf das Scheitern lauert und geradezu jeden Schritt des neuen ISBs aus der Ferne begutachtet und bewertet.
Dieses Buch ist für den Informationssicherheitsbeauftragten gedacht, der voller Bedenken vor dieser Aufgabe steht und sich fragt, ob er überhaupt fähig ist, ein ISMS in seiner Organisation einzuführen.
Im Buch werden viele Praxisbeispiele aus tatsächlich stattgefundenen Begebenheiten wiedergegeben. Um die Anonymität zu gewährleisten, nutze ich sogenannte schwarze Schafe, denen ich alle Kuriositäten unterschiebe.
Mein schwarzes Schaf für unsere fiktive Organisation T34M heißt im Buch T34M-L34D. Bei T34M handelt sich um eine fiktive Organisation, die Nachrichten produziert und zu den KRITIS (kritische Infrastrukturen) zählt, von denen das neue IT-Sicherheitsgesetz fordert bis 2018 ein ISMS einzuführen.
Bei dem ISB, der im Buch interviewt wird oder einfach Tatsachen erzählt, handelt es sich um T34M-L34D.
Die Organisation hatte bei ihrer Gründung Freude daran, die Buchstaben E durch 3 und A durch 4 zu ersetzen, so wie es einige angehende Hacker in der Sprache Leet tun.
T34M-L34D steht stellverstretend für hunderte Kunden, Kollegen, Mitarbeiter und Seminarteilnehmer, mit denen ich in den letzten 15 Jahren gesprochen habe oder denen ich einfach nur zugehört habe.
T34M-L34Ds Erzählungen sind Praxisbeispiele, die Ihnen, also dem neuen ISB zeigen sollen, dass sich in allen Organisationen teilweise recht kuriose Begebenheiten bzgl. Informationssicherheit ereignen.
T34M-BO$$ ist die oberste Leitung von T34M. Er kommt relativ wenig zu Wort, da T34M-L34D als ISB alle Aufgaben und Themen auf seinem Tisch hat und bearbeiten muss.
T34M-ADMIN ist als Administrator bei T34M beschäftigt.
T34M-EXTERNER ist ein fiktiver Dienstleister, dem alle Zitate von echten Dienstleistern untergeschoben werden.
Die vielen Zitate von Kunden, Lieferanten, externen Dienstleistern, ehemaligen Kollegen und auch Seminarteilnehmern sind anonymisiert. Für den Fall, dass der einen Leserin oder dem anderen Leser ein Zitat bekannt vorkommt, möchte ich anmerken, dass viele Herausforderungen nicht nur bei einer Organisation anzutreffen sind und sich deshalb Zitate auch ähneln können. Kein Leser muss in Sorge geraten, wenn er meint, sich in einem Zitat wiedererkannt zu haben. Die gesammelten Zitate umfassen einen zeitlichen Rahmen von über 15 Jahren.
Viel Spaß beim Lesen und Lernen!
Rollen und Verantwortlichkeiten im ISMS
Sie haben es geschafft. Sie sind der oder die neue ISB in Ihrer Organisation. Wie sind Sie zu diesem Titel gekommen?
Eine Unterhaltung während eines Seminars zum Thema Berufung zum ISB:
Interviewer: „Wie sind Sie zu Ihrer Aufgabe als ISB gekommen?“
T34M-L34D: „Ach, keiner wollte ISB werden, da haben wir Karten gespielt und ich habe den schwarzen Peter gezogen.“
T34M-L34D2: „War bei mir fast genauso.“
ISO/IEC 27001 Kap. 7.2 Kompetenz
Grämen Sie sich nicht weiter, falls es Ihnen ähnlich ging, sehen Sie Ihre neue Aufgabe als Bereicherung an.
Fordern Sie eine ISO/IEC 27001-Weiterbildung, um für Ihre neue Aufgabe gerüstet zu sein. Die ISO 27001 fordert in Kapitel 7.2, dass Sie die erforderliche Kompetenz besitzen und gegebenenfalls geschult werden.
Die Schulungsnachweise werden bei einer Zertifizierung vom Auditor überprüft. Sie sollten eine Kopie der Nachweise an Ihre Personalabteilung weiterleiten.
Ein ISB erzählte mir, wie er ursprünglich zu seiner Rolle als ISB gekommen war:
T34M-L34D: „Ich hatte mich eigentlich auf eine Stelle als Web-Entwickler beworben und wurde zum Gespräch eingeladen. Das Gespräch lief ganz gut. Am Ende wurde mir gesagt, wenn ich zu meiner Aufgabe als Web-Entwickler noch die Rolle als ISB übernehmen könnte, würde man mir sofort zusagen. Ich war überrascht und verunsichert.
Als ich erklärte, dass ich mich damit überhaupt nicht auskenne, wurde mir versprochen, dass ich alle Weiterbildungen erhalte, die ich bräuchte und dass mir alle Kollegen zur Seite stehen würden.
Ich habe also zugesagt.“
Interviewer: „Und war es die richtige Entscheidung für Sie?“