Die Wende von Juni und Juli 2019 war für uns intensiv. Aufgrund der immer dynamischeren Entwicklung der Unternehmen der TT Capital Group wurde nach und nach klar, dass es langfristig nicht möglich ist, ein zentrales IMS (das neben den Normen ISO9001, ISO20000, OHSAS auch ISO27001 umfasste) zu unterhalten. Man musste etwas tun.
Wir beschlossen, dass die Verantwortung für die Gewährleistung der Sicherheit von Informationen (und anderen Systemen) bei jedem der Unternehmen liegen sollte, die diese Systeme nutzen. Eine ziemlich perverse Vorstellung, was eine warme, faule und ferienreiche Zeit angeht (ja, damals gingen die Möglichkeiten für Ausflüge weit über Wohnzimmer, Terrasse und Garten hinaus, was viele von uns genossen). Eine ebenso erhabene wie ehrgeizige Aufgabe. Das zentrale System im TCN stand dem GKTT zur Verfügung und eine ganze Menge Erfahrung, die in den vielen Jahren seiner Tätigkeit gesammelt wurde. Nichts anderes, als dieses Wissen, die Dokumentation und die bereits entwickelten Tools zu nutzen… oder ist es vielleicht besser, alles von vorne anzufangen? Aus irgendeinem Grund hat diese Frage ein wenig für Aufregung gesorgt.
Evolution oder Revolution?
Ein ewiges Dilemma. In einem meiner früheren Artikel mit dem Titel „Wie soll man die digitale Transformation in einem Unternehmen erfolgreich durchführen? habe ich argumentiert, wenn wir kein gutes Argument für eine Revolution haben, sollten wir bei der Evolution bleiben. Wenn man die falsche Entscheidung trifft, ist es viel einfacher, einen oder zwei Schritte zurück zu gehen. Nun, wenn wir kein gutes Argument haben. Im Allgemeinen erforderte die Aufgabe, vor der wir standen, drei Dinge:
- Bestimmung des IMS-Umfangs, den wir in einer Organisation benötigen – hier war die Wahl einfach, denn als Software Dienstleister konzentrieren wir uns in erster Linie auf Informationssicherheit.
- Analyse des gesamten IMS und Extrahieren von Dokumenten, Prozessen, Praktiken und Möglichkeiten zur Gewährleistung der Informationssicherheit.
- Anpassung der oben genannten Punkte an unsere Geschäftsbedürfnisse, Organisationsstruktur und guten Praktiken.
Schritt eins dauerte nur wenige Minuten. Klischee. In Schritt zwei ist es ernst geworden. Das integrierte Managementsystem erwies sich in der Tat als sehr integriert. Es gab keine einfache und schnelle Möglichkeit, nur den Teil zu erhalten, der sich auf die Informationssicherheit bezog. Die einzige Möglichkeit bestand darin, alle Dokumente zu katalogisieren, sie mühsam zu analysieren und sie dann neu zu schreiben und an unsere Bedürfnisse anzupassen. Keine Möglichkeit für Abkürzungen. Aber es erhellte ein Licht im Tunnel. Wenn wir unsere Arbeit nicht beschleunigen können, indem wir Teile des Systems aufnehmen, werden wir vielleicht Instrumente einsetzen, die es uns ermöglichen, das System bequemer, schneller und effizienter zu implementieren und zu überwachen? Wir haben gerade ein Argument für die Revolution gefunden. Der dritte Punkt auf unserer Liste hat begonnen, Gestalt anzunehmen.
Wo Excel nicht hinmag, schickt er Jira
Es ist nicht meine Absicht, Excel zu kritisieren. Es ist ein großartiges Tool, aber es erreicht nicht unbedingt das Leistungsniveau und die Wartungsfreundlichkeit, die wir von TTPSC verlangen. Wir arbeiten seit vielen Jahren auf der Grundlage der Systeme Jira und Confluence und nutzen die ganze Fülle von Erweiterungen dieser Systeme. Nachdem wir bereits die IMS-Dokumentation (so haben wir es gemacht, Satz für Satz ), die Struktur und den Inhalt der BI-Richtlinien, die in TTPSC angewendet werden, analysiert hatten, war es notwendig, über die Werkzeuge nachzudenken. Und so, einer nach dem anderen:
- Wir ersetzten die Dokumentenablage (Word, Excel, PDF und andere) in Sharepoint durch Inhalte, die auf den Confluence Seiten veröffentlicht wurden – damit waren Versionierung, Mitarbeiterzugriff und Änderungskontrolle erledigt. Wir verlassen uns nur auf eingebaute Mechanismen, die als Standard verfügbar sind. Keine Kodierung. Schnell, effizient und ohne die Notwendigkeit zusätzlicher Hilfsmittel.
- Meldung von Vorfällen, Aktivitäten und anderen Ereignissen, die im Hinblick auf die Wartung des ISMS von Bedeutung sind – zum Glück ist dies ein Punkt, der alle im IMS enthaltenen Standards miteinander verbindet. Im Laufe der Jahre, in denen IMS funktioniert, ist es uns gelungen, einen sehr guten Mechanismus basierend auf Jira in der TT Capital Gruppe für die Berichterstattung und Verwaltung von Ereignissen zu erarbeiten. Jeder Bericht hat seinen eigenen Typ (Vorfall, Verbesserungspotenzial, Nichteinhaltung, Betrieb) und eine Reihe von Attributen, die bei der Klassifizierung eines Vorfalls helfen, was dann eine sehr genaue Analyse und Überwachung ermöglicht. Berichte haben ihren eigenen Lebenszyklus, die Möglichkeit, sie an bestimmte Personen zu delegieren, Aktivitätsaufzeichnungen bereitzustellen, Gruppierungen und Verknüpfungen zu ermöglichen und viele andere Dinge, die durch die Grundfunktionen von Jira erreicht werden können. Dies ist ein Schlüsselelement des Systems.
- Die Überwachung der Wirksamkeit und die Messung der Zielerreichung – die Berichterstattung über Vorfälle oder Aktivitäten in strukturierter Form ist unerlässlich. Ihre manuelle Analyse oder das Berichten von Messergebnissen in Excel wäre ketzerisch. Sie muss automatisiert, lesbar und mit den entsprechenden Berechtigungen online zugänglich sein. Klingt kompliziert. Nichts könnte weiter von der Wahrheit entfernt sein – die eingebauten Jira- und Confluence-Mechanismen und der sehr hohe Integrationsgrad beider Systeme sind ebenfalls hilfreich. Dadurch haben wir jederzeit Zugriff auf die wichtigsten Indikatoren und den Grad der Zielerreichung, ohne auch nur eine einzige Operation, Datenbankabfrage oder Makro in Excel durchzuführen. Wir verwenden nur Filter, Berichte, Makros und Widgets.
- Risiko-Matrix. Am Ende habe ich das Beste zurückgelassen. Es gibt Hunderte von Vorlagen im Internet in Excel mit Vorschlägen für eine Risikomatrix-Organisation. Sie alle haben eines gemeinsam – keine Integration mit anderen Teilen des ISMS. Was verursacht das? Die Tatsache, dass bei 30 oder mehr Risiken eine solche Leistung völlig unkontrollierbar wird. Wir sehen uns das nur widerwillig an. Es ist schwierig, den Inhalt der Felder zu lesen. Noch schwieriger ist es, die Verbindungen zwischen ihnen wieder herzustellen. Auf der anderen Seite soll die vollständige Abstraktion und mentale Akrobatik den Aktivitäten innerhalb der Risiken folgen. Unmöglich? Doch. Uns hat einen ausgezeichneten Plugin für das Jira System – Big Picture Man kann mehr als einen Artikel über das Add-On selbst schreiben, aber das Risikomanagementmodul hat sich für unsere Anforderungen als von unschätzbarem Wert erwiesen. Es ermöglicht es uns, die Matrix zu erstellen (und zu visualisieren!), Risiken zwischen Abschnitten der Matrix leicht zu übertragen, und da jedes Risiko in Jira eine Aufgabe ist – können wir Metadaten, Verbindungen, Lebenszyklen und die Geschichte des Wandels verwenden. Das Tüpfelchen auf dem i ist, dass Risiken leicht mit ihrer Quelle (Projektanalyse, Systemimplementierung, Vorfall) in Verbindung gebracht werden können und dass auf ihrer Grundlage gefilterte und erweiterte Berichte erstellt werden können. Schnell, einfach und effektiv.
Es ist erwähnenswert, dass, während es uns Wochen gekostet hat, die Dokumentation zu analysieren, die Erstellung der oben genannten Werkzeuge zur Verwaltung des SDMS sich als eine Sache von… mehreren Tagen herausstellte. Für eine Person. Die Kombination aus guten Praktiken, noch besseren Instrumenten und dem Gefühl, dass die alten Muster durch etwas Neues, Besseres und Effizienteres ersetzt werden können, führte zu außergewöhnlichen Ergebnissen.
Und das ist erst der Anfang…
Wie geht es also weiter? Integration. Immer breiter. Neben Jira und Confluence gibt es spezielle Systeme, die Berichte von Partnern und Lieferanten analysieren. Die Ergebnisse werden automatisch in Form von Aktionen, Zwischenfällen oder anderen Ereignissen gemeldet, und diese versorgen uns folglich mit Indikatoren und Berichten. Die Vereinheitlichung der Kommunikations- und Kooperationsinstrumente ermöglicht eine größere Kontrolle über die verarbeiteten Daten. Die Analyse der Anforderungen des ISO-Standards im Hinblick auf die Überwachung der Wirksamkeit des ISMS treibt uns immer weiter dazu, Lösungen zu implementieren, die auf der Digitalisierung von Prozessen in Jira basieren. Solange wir uns von Sicherheit, Standardisierung, Automatisierung und Integration von Daten leiten lassen, erfordert das System trotz der Tatsache, dass es mit jedem Monat neue Bereiche abdeckt, keinen zusätzlichen Aufwand für Betrieb und Verwaltung. Schließlich geht es nicht darum, ein System zu schaffen, dessen Funktionsweise an sich schon ein Rätsel ist und nur die Arbeit der Produktionsabteilungen behindern wird. Es geht darum, dass die von uns entwickelten Lösungen Bedingungen schaffen, unter denen das Risiko eines Verlustes der Integrität, Vertraulichkeit und Verfügbarkeit der von den Mitarbeitern verarbeiteten Daten geringer wird. Und das zu möglichst geringen Kosten.