Was ist eigentlich dieses ISMS… „ist das Kunst oder kann das weg“?
Die Abkürzung ISMS steht für InformationsSicherheitsManagementSystem.
Sprechen wir in diesem Kontext von „Sicherheit“, geht es immer um die sogenannten Schutzziele, die es gilt, gegenüber den „Informationen“ aufrecht zu erhalten: Vertraulichkeit, Verfügbarkeit und Integrität. Dazu kommen noch die Begriffe „Managen“: etwas geschickt organisieren und bewältigen sowie „System“: Prinzip, nach dem etwas gegliedert/geordnet wird.
Das heißt wir sollten geschickt und organisiert nach einem gegliederten und geordneten Prinzip die Informationen schützen.
Aber was hat das jetzt mit der Frage zu tun:
„Ist das Kunst oder kann das weg?“
Bei diesem Zitat muss Bettina Schwarz, unsere Beraterin und Teamleiterin für Informationssicherheit, direkt an das Pflaster in der Badewanne denken:
„Wurde eine mit Mullbinden und Heftpflastern versehene Badewanne des Künstlers Joseph Beuys doch versehentlich nach einem Abend zum Spülen von Gläsern missbraucht. Die Kunstaustellung war noch im Aufbau und das Kunstwerk nicht in entsprechendem Rahmen präsentiert, sodass man es schlichtweg nicht als Kunstwerk erkannt hatte. Bedeutet das jetzt, dass die Kunst nicht an dem Werk selbst erkennbar ist, sondern das Werk erst durch die Präsentation in einem angemessenen Rahmen zum Kunstwerk wird? Über diese Frage könnte man vermutlich lange philosophieren…
Doch nicht nur Joseph Beuys erging es so. Der Spruch zieht sich inzwischen durch mehrere Vorfälle und wird auch immer gerne dann benutzt, wenn der Wert oder Nutzen einer Sache nicht erkannt wird.
Und so kann es auch bei einem ISMS passieren: Es wird nicht erkannt.
Aber liegt dies jetzt am ISMS selbst oder an der Präsentation und dem angemessenen Rahmen? Ich denke an beidem. Im Zuge eines ISMS werden dem Risiko entsprechend Maßnahmen geplant, etabliert, aufrechterhalten und verbessert, um den Schutz der Informationen zu gewährleisten. Doch manchmal funktioniert es einfach nicht so mit den Maßnahmen. Sie werden in den Organisationen geplant, finden dann aber keine Akzeptanz oder werden schlichtweg nicht erkannt.
Ein ISMS ist eben kein Standard in dem Sinne, welches überall gleich geht, sondern es gibt einen roten Faden vor, den ich durch mein Unternehmen ziehen muss. Dabei sind sowohl die Anwender, also die Betrachter des Kunstwerkes, zu berücksichtigen. Gefällt ihnen das Kunstwerk, passt es in die Philosophie und Arbeitsweise? Als auch der entsprechende Rahmen muss vorhanden sein. Präsentiert die oberste Leitung ein entsprechendes Ambiente, in dem das ISMS hervorgehoben wird?
Das Zusammenspiel muss passen und alle Beteiligten sollten sich wiederfinden und wohlfühlen.
Wie das funktioniert, wie Sie die richtigen Maßnahmen ergreifen und geschickt und organisiert nach einem gegliederten und geordneten Prinzip ein ISMS aufbauen, dass zu Ihrem Unternehmen passt und dabei Ihre Informationen, also das wertvollste Ihrer Organisation, schützen, zeige ich Ihnen gerne. Dann wird auch Ihr Werk zu einem Kunstwerk.“