
ziel.Checkup: Strategie- und Ziel-Wokshop
IT-Sicherheits-Ziel-Workshop auf Basis unseres Unternehmensanalyse-Tools
Beim Aufbau eines Managementsystems sind die von der Organisation verfolgten Ziele zu ermitteln und festzulegen. Anhand der evaluierten Ziele kann die Organisation, unter Zuhilfenahme der Risikoanalyse, den erwünschten Grad des Managementsystems bzw. das gewünschte Sicherheitszielniveau ermitteln.
Um Unternehmen bei dem Zielfindungsprozess und der Festlegung eines Zielniveaus des Managementsystems zu unterstützen, haben wir den IT-Sicherheits-Ziel-Workshop entwickelt. Dieser stellt sicher, dass nicht nur das Anspruchsniveau der Unternehmensleitung erfasst und dokumentiert wird, sondern auch die Anspruchsniveaus aller für das Unternehmen relevanter Stakeholder ermittelt, bewertet und in die Zielvorstellung des Unternehmens eingearbeitet werden.
Als Ergebnis des Sicherheits-Zielworkshops steht ein erarbeitetes Zielniveau für ein unternehmensweites Managementsystem, welches die Anforderungen aller für das Unternehmen relevanten Stakeholder berücksichtigt. Zudem werden Detailziele auf der zweiten Hierarchiestufe festgelegt. Ebenfalls Ergebnis dieses Zielworkshops sind, auf Grundlage des bestimmten Zielniveaus, Anforderungen an die Leistungsvereinbarungen (Service Level-Agreements (SLAs)) im Rahmen des Managementsystems, sodass sichergestellt werden kann, dass das gewünschte Zielniveau nicht vor der eigenen Haustür endet und auch Dienstleister ihren Teil zur Erreichung des Zielniveaus beitragen.
Warum nicht einfach anfangen? Ich kenne meine Ziele!
Einzelne im Unternehmen haben sicherlich genaue Vorstellungen von dem zu etablierten Managementsystem und den mit dem System verfolgten Zielen. Wichtig für die Akzeptanz des Managementsystems und des Implementierungsprozesses ist allerdings auch, dass alle relevanten Unternehmensbereiche ihre Idee und Vorstellung im Rahmen des Projektes einbringen und dass am Ende ein Konsens bezüglich der einzelnen Ziele erarbeitet und von allen getragen wird. Ohne die Unterstützung aller Unternehmensbereiche kann ein Managementsystem nicht bestehen.
Warum einen ganzen Workshop abhalten?
Kernziel des Workshops ist, neben der gemeinsamen Erarbeitung von im Unternehmen konsensfähigen Zielen, auch die Wahl von für das Unternehmen angemessenen Zielen. Durch das Veranstalten eines Workshops, zusammen mit einem fachkundigen und erfahrenen Berater, können die Ziele angemessen und unter der Betrachtung der aktuellen Unternehmens-, Umwelt- und Sicherheitssituation getroffen und festgelegt werden. So kann sichergestellt werden, dass das Unternehmen im weiteren Projektverlauf Maßnahmen ergreift, die für das Unternehmen notwendig sind und seinem Bedürfnis entspricht. Entsprechend kann sichergestellt werden, dass die zu tätigenden Investitionen im Rahmen des Managementsystem zur Zielerreichung beitragen und keine Kosten verursachen, die nicht im Sinne des gewählten Sicherheitsniveaus sind.
Warum sollte ich die Stakeholder eines Unternehmens mit einbeziehen?
Oft werden im Rahmen des Aufbaus eines Managementsystems lediglich die eigenen Ziele und Vorstellungen betrachtet und in das System eingebracht. Dabei stellen vor allem verbundene Unternehmen (bspw. Muttergesellschaften oder Tochtergesellschaften) oder Auftraggeber konkrete Anforderungen und Vorgaben an ein Unternehmen, die in einem System häufig unberücksichtigt und schlimmstenfalls auch unbehandelt bleiben. Im Rahmen einer Szenario-Methode werden diese ermittelt und für den weiteren Projektverlauf festgehalten, sodass diese auch im Rahmen des Managementsystems Berücksichtigung finden und im Rahmen eines Audits auch nachgewiesen werden können.
Wofür soll ich SLAs für meine Dienstleister festlegen?
Informationssicherheit hört nicht an der „Schwelle“ des Unternehmens auf. Oft werden Aufträge und somit auch unternehmensinterne Informationen an dritte Unternehmen zur weiteren Verarbeitung gegeben. Auch für diese Informationen muss sichergestellt sein, dass mit ihnen im Sinne des Managementsystems verfahren wird und dass bei Vorfällen das Unternehmen informiert wird.