Anwendbarkeit von VdS 3473 in großen Unternehmen

Ein knappes Jahr nach der Veröffentlichung ist ein Zwischenfazit zur Anwendbarkeit möglich: Die VdS-Richtlinien 3473 sind nicht nur für KMU geeignet sondern stoßen auch bei größeren Unternehmen mit weltweiten Standorten auf großes Interesse.

Insbesondere dort, wo der IT-Betrieb nicht oder nur teilweise zentral gesteuert wird, kann durch die Anwendung der VdS-Richtlinien 3473 ein einheitliches Sicherheitsniveau über alle Lokationen erreicht werden. Möglich wird dies unter anderem durch die konsequente Ausrichtung auf absolute Minimalanforderungen und die große Freiheit bei der Ausgestaltung der einzelnen Verfahren und Aufgaben im Informationssicherheitsprozess. Dort, wo die Einführung der größeren Standards wegen Anzahl und Komplexität der verschiedenen IT-Organisationen scheidert, können mit der VdS 3473 bereits nach kurzer Zeit erste Erfolge erzielt werden.

Auch zeigt sich wieder einmal, dass der Erfolg eines ISMS maßgeblich vom Commitment des Topmanagements abhängig ist (siehe VdS 3473: Kapitel 4 – Organisation der Informationssicherheit). Denn insbesondere bei Standorten „weit ab vom Schuss“ entwickelt sich oft ein unkontrollierter Wildwuchs, der nur schwer zu bändigen ist. Hier werden die eigenen Königreiche vehement verteidigt und Verantwortliche im Bereich der IT oder der Informationssicherheit haben ohne Rückendeckung des Topmanagements kaum eine Chance.

Der Informationssicherheitsbeauftragten (ISB) sollte daher wenn möglich als übergeordnete Stabsstelle ausgewiesen werden, denn so sind Zuständigkeiten über alle Standorte hinweg eindeutig und unmissverständlich geklärt. Für eine reibungslose Integration der Informationssicherheitsprozesse hat es sich über dies als sinnvoll erwiesen, die IT-Abteilung bei einer Holding-Gesellschaft anzusiedeln (sofern vorhanden) und nicht als gleichberechtigtes Schwesterunternehmen zu platzieren.