activeMind AG - ISO 27001 - Kommunikation

Eine Anforderung der neuen Sicherheitsnorm DIN ISO/IEC 27001:2015 ist die Regelung der internen und externen Kommunikation. Dadurch sind Unternehmen gezwungen, sich bereits frühzeitig Gedanken über ihre Kommunikationsprozesse bzgl. ihres Informationssicherheitsmanagementsystems (ISMS) zu machen. Der Vorteil bei korrekter Umsetzung ist ein großes Plus an Datensicherheit. Die Experten der activeMind AG erklären anhand von fünf wichtigen Schritten, wie Sie als Unternehmen sicher kommunizieren.

Die Artikelserie zur DIN ISO/IEC 27001:2015

    Warum ist Kommunikation eine Frage der IT-Sicherheit?

    Die Regelung der Kommunikation ist aus sicherheitstechnischer Perspektive sehr wichtig. Denn gerade die Kommunikation stellt einen Baustein des ISMS dar, dessen fehlerhafte Ausübung das gesamte System ad absurdum führen kann. Immerhin sind die Verbreitung von Informationen und das Vorhandensein entsprechenden Wissens bei Entscheidungsträgern die Basis eines jeden Managementsystems, da nur das Wissen um eine Information ein reagierendes Handeln ermöglicht.

    Für die Ausgestaltung der Kommunikation steht Unternehmen eine ganze Reihe von Möglichkeiten offen. Daher ist es wichtig, konkrete Rahmenbedingungen für die Kommunikation verbindlich festzusetzen. Dies schafft Klarheit und vermeidet etwa das versehentliche Außerachtlassen von Informationsempfängern, für die eine Information von Bedeutung wäre.

    Interne & externe Kommunikation im Fokus der DIN ISO/IEC 27001:2015

    Entsprechend der Norm DIN ISO/IEC 27001:2015 ist zunächst der Bedarf für interne und externe Kommunikation im Rahmen des ISMS zu ermitteln. Neben der Kommunikation innerhalb des Unternehmens müssen wohlgemerkt auch Kommunikationswege zu externen Beteiligten, beispielsweise Dienstleistern oder Vertragspartnern, berücksichtigt werden.

    Bedarfsermittlung: In 5 Schritten zur normgemäßen Kommunikation

    1. Inhalte der Kommunikation

    Zunächst gilt es herauszufinden, welche konkreten Inhalte transportiert werden müssen bzw. dürfen. Dabei ist Wesentliches von Unwesentlichem zu trennen. Es ist also zu fragen, welche Informationen für den Betrieb oder die Optimierung des ISMS notwendig bzw. welche Informationen für das ISMS grundsätzlich von Bedeutung sind.

    2. Zeitpunkte der Kommunikation

    Wichtig sind zudem die Zeitpunkte der Kommunikation. Je nach Einzelfall ist es beispielsweise erforderlich, dass eine Information innerhalb einer bestimmten Frist oder Zeitspanne zum Empfänger gelangt. Oder aber es sind regelmäßige Kommunikationsintervalle nötig, wie es beispielsweise für die Berichterstattung der Leistung des ISMS der Fall sein kann.

    3. Adressaten der Kommunikation

    Mindestens ebenso wichtig ist die Frage, wohin eine Information gelangen muss. Dabei geht es unter anderem darum, welche Stelle oder welche Person innerhalb einer Abteilung eine Information erreichen muss. Vorab ist also zu untersuchen, wer eine bestimmte Information zur Erfüllung seiner Aufgaben oder auch nur zur Kenntnisnahme benötigt.

    4. Verantwortliche für die Kommunikation

    Daneben sind die jeweiligen Verantwortlichen für die Kommunikationen zu ermitteln, also diejenigen, die für die Weitergabe einer Information zuständig sind. Welche Person oder Stelle diese Rolle innehat, ist stets individuell und deshalb jeweils nach den Umständen des Einzelfalls zu beurteilen. Dies kann beispielsweise derjenige sein, der ein Information erhoben hat, oder auch der jeweilige Abteilungsleiter.

    5. Kommunikationsprozesse

    Letztlich gilt es, die angemessene Art und Weise der Kommunikation sowie die Kommunikationswege zu ermitteln. Insbesondere das Medium und die Form sind hier relevant. Beispielsweise ist es ratsam, bedeutende Informationen ausschließlich schriftlich zu kommunizieren.

    Auf die Bedarfsermittlung folgt die verbindliche Regelung

    Allein die Ermittlung des Bedarfs führt im Unternehmen noch nicht zu einer Verbesserung der Sicherheit. Deshalb ist der anhand dieser Kriterien ermittelte Bedarf anschließend in eine verbindliche Regelung umzusetzen, die den jeweils festgelegten Kriterien Rechnung trägt. Im Ergebnis dürfte wohl eine eigene Kommunikationsrichtlinie das geeignetste Mittel sein, um die Kommunikationsvorgänge zu strukturieren und zu kanalisieren.

    Bitte bewerten Sie diese Inhalte!
    [5 Bewertung(en)/ratings]