Mit Bezug zur Informationssicherheit und dem Informationssicherheits-Managementsystem muss die oberste Leitung, das Top Management, Führung und Verpflichtung zeigen. Die Norm teilt diese Anforderung in 8 Teilaufgaben. Die ersten 4 habe ich im letzten Teil bereits besprochen:
- Politik und Ziele
- Integration
- Ressourcen
- Bedeutung des ISMS
Aus diesen Teilaufgaben wird bereits deutlich an welcher Stelle und zu welchem Zweck sich das Top Management engagieren muss. Die weiteren Teilaufgaben erfordern ein noch deutlich gesteigertes Engagement des Top Managements.
Zielerreichung
Das Top Management muss dafür sorgen, dass das ISMS die gesteckten Ziele auch erreicht. D.h. Ziellerreichung ist Aufgabe des Top Managements. Natürlich müssen auch auf anderen relevanten Ebenen und Funktionen Ziele festgelegt und erreicht werden. Aber für die Erreichung der übergeordneten Ziele ist das Top Management verantwortlich. In diesem Fall kann das Top Management natürlich Teilaufgaben delegieren, aber nicht die Verantwortung abgeben. Hat das Top Management z.B. als Ziel vorgegeben, ein gründliches Verständnis der Risikoexposition zu bekommen um auf einer realistischen Einschätzung basierende Entscheidungen treffen zu können, dann ist das Top Management dafür verantwortlich dieses Verständnis zu bekommen und die entsprechenden Entscheidungen zu treffen. Dazu gehört die Auswahl der richtigen Methoden und Kenngrößen, die geeigneten Ressourcen, Rollen und Verantwortlichkeiten usw. Das ISMS ist nicht wie eine Zugfahrt, bei der sich das Top Management einfach eine Fahrkarte kauft, einsteigt und am Ziel wieder aussteigt. Nein, bei dieser Zugfahrt sitzt das ISMS in der Leitstelle, stellt die Weichen, macht die Gleise frei, entscheidet über die An- und Abfahrtszeiten usw. Leider ist dieses Verständnis nicht immer vorhanden. Spätestens beim Audit wird aber dieser Punkt geklärt. Wenn das Top Management nämlich diese Aufgabe, die ja ganz am Anfang der Norm steht, nicht erfüllt hat, ist die Erteilung des Zertifikats gefährdet.
Anleitung
Das Top Management muss andere Personen (überwiegend Beschäftigte) anleiten und unterstützen, damit diese zur Wirksamkeit des ISMS beitragen können. Häufig wird die tatsächliche Unterstützungsleistung natürlich delegiert, indem Mitarbeiter auf Schulung geschickt werden oder es wird ein Berater für die Implementierung eingekauft. Es gibt aber auch immer wieder Situationen in denen die beauftragten Personen auf die direkte Unterstützung des Top Managements angewiesen sind. Z.B. wenn es darum geht, gewisse Prozesse zu ändern, einen Kulturwandel durchzuführen, Strukturen aufzubrechen, Transparenz zu schaffen usw. Solche Aufgaben sind ohne Rückendeckung durch die oberste Leitung nicht umzusetzen. Da hilft weder Wissen alleine, noch die Unterstützung durch einen externen Berater.
Verbesserung
Jedes sinnvolle Managementsystem ist auf kontinuierliche Verbesserung ausgerichtet. Ansonsten ist es kein Managementsystem, sondern nur ein Verwaltungsinstrument. So ist auch in der ISO/IEC 27001 kontinuierliche Verbesserung ein Muss. Vom Top Management wird gefordert, fortlaufende Verbesserung zu fördern. Um fortlaufende Verbesserung fördern zu können, müssen mindestens folgende Schritte vorgenommen werden:
- initiale Erfassung und Bewertung des Ist-Zustands
- festlegen von Zielen
- Schaffen und Steuern von Ressourcen zur Erreichung der Ziele
- Bewertung der Zielerreichung
Es ist klar, dass der PDCA-Kreis, also PLAN DO CHECK ACT, nichts anderes zum Ziel hat, als kontinuierliche Verbesserung. Um diese zu erreichen muss das Top Management in allen Phasen beteiligt sein mit dem Ziel fortlaufende Verbesserung zu fördern. Dazu gehört auch z.B. einen Kanal zu schaffen um Verbesserungspotential zu melden und zu incentivieren, erkanntes Verbesserungspotential zu bewerten und Entscheidungen zu treffen durch die das ISMS verbessert wird.
Führungskräfte
Das Top Management wird sinnvollerweise Aufgaben delegieren und auf relevanten Ebenen Führungsaufgaben mit Bezug zur Informationssicherheit definieren. Diese Aufgaben mögen bereits bestehenden Führungskräften zufallen, es können aber auch neue Rollen geschaffen werden. In vielen Unternehmen wird z.B. die Rolle eines Beauftragten für die Informationssicherheit geschaffen. Das ist eine Führungsrolle, meist ohne disziplinarische Verantwortung, mit der Aufgabe ein ISMS nach den Vorgaben der ISO/IEC 27001 zu implementieren und die Leistung des ISMS an das Top Management zu berichten. Die Unterstützungsleistung des Top Managements liegt hierbei darin, diese Führungsrolle deutlich zu machen. Das kann sowohl direkt als auch indirekt erfolgen. Direkt bedeutet z.B. es gibt eine offizielle Mitteilung an die Belegschaft, dass XYZ jetzt Mangementbeauftragter für die Informationssicherheit ist und folgende Aufgaben hat… Das mag initial gut und wirksam sein, reicht aber auf Dauer oft nicht aus. Die Führungsrolle wird am deutlichsten, wenn sich das Top Management in diese Führungsaufgaben nicht einmischt und bei Entscheidungen die Führungsrolle respektiert und seine fachliche Expertise nutzt. Bei Entscheidungen die in den Aufgabenbereich des Managementbeauftragten fallen, wird das Top Management keine eigenen Entscheidungen treffen und so den Beauftragten umgehen oder ständig Ausnahmen genehmigen, die die Autorität des Beauftragten untergraben. So wird diese Führungsrolle im Unternehmen deutlich gemacht.
Zusammenfassend kann mal also sagen, dass dem Top Management eine tatsächlich Führungsrolle abverlangt wird. Das Top Management muss sich in allen Phasen des ISMS involvieren und aktiv mitwirken. Es übernimmt die Verantwortung für die Erreichung der gesteckten Ziele. Aus diesem Grund sollte auch gut überlegt sein, wer im Geltungsbereich die Rolle des Top Management übernimmt.