ISO 27001 Anforderung 4.2 – Interessierte Parteien

Was ist ein Interessent?

Im einfachsten Fall ist eine interessierte Partei ein Stakeholder – jemand, eine Gruppe oder eine Entität mit einem Interesse an Ihrem ISMS (oder vielleicht der Organisation selbst).

Sie sollten in der Lage sein, viele Ihrer interessierten Parteien leicht zu identifizieren, nachdem Sie die internen und externen Probleme gelöst haben, die sich auf die beabsichtigten Ergebnisse des Informationssicherheitsmanagementsystems auswirken.

Dazu gehören Mitarbeiter, Lieferanten, Kunden, Aktionäre, Direktoren, Interessenten, Vorstandsmitglieder, Wettbewerber, Gesetzgeber und Aufsichtsbehörden, Gewerkschaften usw.

Auch die Interessenten sind nicht immer die offensichtlichsten – zum Beispiel müssen möglicherweise Hacker und damit verbundene böswillige Parteien in Betracht gezogen werden, ebenso wie die Medien und andere, abhängig von der Art Ihres Unternehmens und den Problemen, mit denen es konfrontiert ist.

Anstatt jedoch eine Reihe einheitlicher Richtlinien und Kontrollen für alle Ihre Interessengruppen zu erstellen, ist es besser, diese Interessengruppen im Hinblick auf ihre Macht, ihr Interesse und ihre Unterstützung zu betrachten – vereinfacht gesagt geht es hier um ihre Fähigkeit, Einfluss auf Sie zu nehmen Herangehensweise an das ISMS.

Dann können Sie geeignete Ansätze entwickeln, um zu zeigen, dass Sie ihre Bedürfnisse abgedeckt haben (und natürlich auch Ihre, wo es sich um einen möglichen Saboteur handelt!)

Wenn Sie beispielsweise einen Kunden hätten, der von Ihnen verlangt, in ISO 27001 zu investieren und ein unabhängig zertifiziertes ISO 27001-ISMS aufzubauen, würden Sie das tun, wenn er ein sehr kleiner, einflussloser Akteur wäre? Sie würden wahrscheinlich noch einmal darüber nachdenken, ob dieser Kunde einer von vielen wäre, den Sie gewinnen wollten, oder ein großer, mächtiger Akteur an sich.

Würden Sie über Verschlüsselung nachdenken, wenn es keine gesetzliche Anforderung der DSGVO wäre? Gesetzgeber und Regulierungsbehörden (Aufsichtsbehörden) sind ein wichtiger Stakeholder, der „zufrieden bleibt“, den Sie berücksichtigen und zeigen müssen, dass Ihre Interessen berücksichtigt werden!

Wer sind die Interessenten, die zufrieden gestellt werden sollen?

Wenn es sich bei einem Stakeholder um große Macht und geringes Interesse handelt, sollten Sie diese Einzelperson oder Gruppe als einen Stakeholder betrachten, der „zufrieden bleibt“. Fragen Sie sich: Was werden Sie in Ihrem ISMS mit Richtlinien und Kontrollen tun, um die Zufriedenheit sicherzustellen?

In diesem Bereich mit großer Macht und geringem Interesse sehen Sie möglicherweise Organisationen wie Gesetzgeber und Regulierungsbehörden, sehr einflussreiche Kundengruppen, Aktionäre usw. Es können auch externe Prüfer und andere Branchenverbände vorhanden sein, die Ihren Geschäftserfolg beeinflussen können.

Ihr Interesse ist im Alltag eher gering, aber ihre Einflussmöglichkeiten auf Ihre Geschäftsziele sind hoch. Deshalb müssen sie zufrieden gestellt werden – normalerweise aus der Ferne, und ein unabhängig zertifiziertes ISO 27001-Zertifikat trägt dazu bei, ihren Bedürfnissen gerecht zu werden.

Auch die sehr mächtigen Interessengruppen für Informationssicherung wie etwa Regulierungsbehörden können bestimmte Arbeitsweisen vorschreiben – ganz aktuelle Beispiele sind die DSGVO und das Datenschutzgesetz.

Berücksichtigung der Bedürfnisse anderer interessierter Parteien für ein erfolgreiches ISO 27001 ISMS

Wenn ein Interessent sowohl großes Interesse als auch große Macht hat, würden wir ihn als Schlüsselakteur bezeichnen. Diese Stakeholder sollten aktiv einbezogen werden. Ihr leitendes Managementteam, wichtige Abteilungsleiter, kritische Boutique-Lieferanten usw. werden wahrscheinlich in diese Kategorie fallen. Vielleicht haben Sie tatsächlich einige Ihrer engsten Kunden in dieser Kategorie. Sie sind möglicherweise sehr daran interessiert, wie Sie täglich arbeiten, da dies auch Auswirkungen auf sie hat.

Es ist einfach, lange Listen mit zu berücksichtigenden Stakeholdern zu erstellen. Seien Sie jedoch vorsichtig, wenn Sie nicht zu viel Zeit mit denjenigen verbringen, die über weniger Macht verfügen. Diejenigen mit geringerer Macht und größerem Interesse müssen auf dem Laufenden gehalten werden, müssen aber möglicherweise nicht dazu konsultiert werden, was Ihr ISMS abdeckt – Sie müssen es ihnen vielleicht nur sagen, sonst könnten sie Ihre Zeit und Ihr Investitionsbudget stark belasten!

Seien Sie auch vorsichtig, wenn Sie Stakeholder, die Sie nicht mögen, einfach in die unteren Machtbereiche abschieben – wir haben dies in einem Unternehmen gesehen. Sie zahlten später dafür, weil der Stakeholder tatsächlich ziemlich mächtig war und sie das Erreichen ihrer Ziele verzögerte, weil ihre Anforderungen nicht priorisiert wurden.

Die Kombination dieser Interessengruppen- und Stakeholder-Arbeit mit den internen und externen Problemen, die Sie in 4.1 identifiziert haben, trägt zu einem besseren Verständnis darüber bei, woher Bedrohungen und Chancen in Ihrem Informationssicherheitsmanagementsystem kommen könnten.

In Verbindung mit dem Umfang Ihres ISMS (4.3) führt dies zu einem viel logischeren und geschäftsorientierteren Ansatz für die Risikobewertung in 6.1 und zu einer viel größeren Informationssicherheit mit Richtlinien und Kontrollen, die Ihre Mitarbeiter und Stakeholder wertschätzen und annehmen werden.

In ISMS.online stellen wir eine Vorlage und das Tool mit einer „Bank von Stakeholdern“ zur Verfügung, damit Sie die Anforderungen von ISO 27001 Abschnitt 4.2 problemlos erfüllen können. Das optionale Virtual Coach-Programm beinhaltet auch Video-Coaching zur Erfüllung der Anforderungen.