Warum ich Recycling liebe….auch für ISO 27001

Manchmal ist es besser und billiger, altes Zeug wieder zu verwenden…ja klar, Flohmarkt Schnäppchen neu lackieren und so auch…..aber auch als Berater bei meinen Kunden hat es einen finanziellen und terminlichen Sinn. Die IT Sicherheit generiert sich aus Transparenz, Risikobewusstsein und Sicherheits-Know-how. Beim Aufbau eines IT Sicherheitsmanagementsystems kann oft viel Transparenz durch “Abstauben”, Konsolidieren und Aufarbeiten vorhandener Informationen gewonnen werden, ohne alles neu zu erfinden.

Systematisches Suchen und Zusammentragen von “Altinformationen” hat einem meiner Kunden mehr als geschätzte 60% der Bestandsaufnahme erspart. Das war angesichts der Meinung meines Kunden, er hätte fast nichts außer einem Systemlandschaftsbild schon erstaunlich. Und wenn man dann noch alte pdf’s in bearbeitbare, erweiterbare Dokumente umwandelt, ist ein grosser Teil der IT Sicherheits-Fleißarbeit schon erledigt. Dann noch ein bisschen Managementsystem und Risikobewertung….fertig! Na ja, ok…nicht ganz aber fast :-)

Produkt-Rückruf – kann ich es oder glaube ich nur ich kann?

Rückrufe von Lebensmittel- Pharma- oder Maschinenchargen sind heute ein Thema, das immer wieder durch die Presse geistert. Das betrifft viele Branchen…und in einigen Branchen kann es über Leben und Tod entscheiden, ob das alles so klappt wie es soll.

Es ist eine gesetzliche Anforderung vieler Branchen, diese Rückrufe möglich zu machen.

Heute werden die meisten Prozesse durch IT Systeme unterstützt, die diese Rückrufe technisch abwickeln müssen. Bei der Einführung der Systeme wird getestet, dass auch Rückrufprozesse sauber laufen und somit vollständig und richtig alle Einheiten dafür selektieren. Und später? Wenn das System x-mal geändert wurde?

Die Frage ist , ob jedes Mal (dokumentiert natürlich!) getestet wurde, wenn in der “Nähe” etwas geändert wurde. Und wer fordert hier zum Testen auf? Gab es keine Aufforderungen, ist wohl irgendwas nicht ausreichend geregelt….oder falsch bewertet…

Die generelle Annahme, dass dafür die QM Truppe zuständig ist, ist schon richtig. Aber die QM Menschen haben oft nur wenig Ahnung davon, was in IT Systemen so vor sich geht und was aus technischer Sicht “in der Nähe” ist. Hätte man ein IT Sicherheitsmanagementsystem, wäre das angesprungen….

IT Sicherheits-Management Systeme, ob nach ISO 27001 zertifiziert oder nicht, helfen, die Risiken unter Kontrolle zu halten. Und auch die Kosten…..man prüft nur dort, wo es prüfenswert ist….nicht überall! Und es gibt neben der Rückruf-Problematik noch andere IT relevante Themen dieser Art.

Durch gesetzliche Verpflichtungen, z.B. EU-Verordnung (EG) Nr. 178/2002, ISO 22000 oder HACCP sind also implizit auch die IT Truppen in einigen Bereichen mit verpflichtet, auch wenn sie nicht so deutlich erwähnt werden!

Also was sagt die IT? Kann ich es oder glaube ich nur ich kann?