Objektsicherheit management

Objektsicherheitsmanagementsystem

Unser Objektsicherheitsmanagementsystem (OSMS) ist im Grundaufbau kompatibel mit den berühmten fünf Aufgaben der Führung von Fredmund Malik, Professor der Managementlehre der Universität St.Gallen. Außerdem leitet es sich ab von der international anerkannten Norm ISO 27001. Es bietet also zusätzlich den Vorteil, dass einer späteren Zertifizierung nach dieser Norm wenig im Wege stehen dürfte.

1. Für Ziele sorgen:

Malik fordert in seinem Konzept das Formulieren von Zielen, an welchen sich Ihre Mitarbeiter orientieren können. Diese müssen durch die Geschäftsführung klar definiert sein. Übertragen auf unser OSMS ist das eine Sicherheitsleitlinie. Sie gibt die Kernaussage der Geschäftsführung wieder, welche Ziele und welche Richtung erreicht bzw. eingeschlagen werden soll. Also warum Sicherheit im Unternehmen betrieben wird und was damit erreicht werden soll.

2. Organisieren:

Im nächsten Schritt organisieren wir um die Absichtserklärung aus dem ersten Schritt herum die Sicherheitsrichtlinie. Diese konkretisieren die Aussagen der Leitlinie und bringen auf den Punkt, was zu tun ist. So kann beispielsweise aus einer Absichtserklärung, die Entwicklungsprozesse besser schützen zu wollen, eine definierte Richtlinie zum Absichern der Forschungs- und Entwicklungsgebäude formuliert werden.

Aber auch Prozesse sind klar nach der Vorgabe der Geschäftsführung auszurichten. Seien das Prozesse, welche entscheiden, wie Richtlinien entstehen, wie sie revisioniert und korrigiert werden. Auch Prozesse zur Auswahl und Bewertung einzelner Sicherheitsmaßnahmen, sowie Prozesse zur Entscheidung über Risiken fallen unter diesen Gesichtspunkt.

3. Entscheiden:

An dieser Stelle muss primär entschieden werden, mit welchen Risiken ein Unternehmen leben kann und möchte. Eine absolut kritische Frage, denn: Zu viel Sicherheit an zu vielen Stellen macht ein Unternehmen zu träge, lähmt unter Umständen sogar ganz. Ganz getreu unserem Motto: Viel hilft eben nicht immer viel. Oder um es anders zu formulieren, zitieren wir gerne William Shedd:

“Ein Schiff ist am sichersten im Hafen – aber dafür ist es nicht gebaut.”

Ein Unternehmen muss den “Hafen” verlassen, muss sich auf der stürmischen See neuer Märkte beweisen können. Bildlich gesprochen, ist die Aufgabe unseres OSMS dafür zu sorgen, dass das Schiff auf dem Weg in diese Gewässer nicht untergeht.

Ein Risiko besteht bei unserer Betrachtungsweise aus drei Komponenten:
1. Assets:

Das sind wertvolle Güter, welche Sie nicht verlieren oder beschädigt wissen wollen. Dabei ist es in erster Konsequenz irrelevant, um was es sich im Detail handelt.

2. Schwachstellen in der Sicherheitsarchitektur:

Diese müssen zuerst erkannt werden. Erst dann kann man sie beseitigen. Eine Kette ist eben immer nur so stark, wie ihr schwächstes Glied.

3. Bedrohung:

Die dritte erforderliche Komponente ist die Bedrohung. Es muss eine reale Bedrohung von innen oder außen geben.

Diese Punkte beschreiben das Risiko. Dieses selbst bewerten sie allerdings nach zwei Gesichtspunkten: Zum einen nach der Eintrittswahrscheinlichkeit und zum anderen nach dem zu erwartenden Schadensausmaß. Aus dieser Risikoanalyse heraus, können wir nun ganz konkrete Sicherheitsmaßnahmen entwickeln, welche angemessen und sinnvoll sind für Ihre Risikobewertung. Dabei können diese Maßnahmen technischer, organisatorischer oder baulicher Natur sein.

4/5. Kontrollieren und Menschen fördern:

Mit Blick auf Malik bleiben an dieser Stelle noch die beiden Punkte “kontrollieren” und “fördern” übrig. Beides integrieren wir in unser OSMS, in dem wir einen PDCA-Zyklus (plan, do, check, act) integrieren. Und das an der Stelle, an welcher er am meisten Sinn ergibt – bei den Prozessen. Durch diesen PDCA-Zyklus stellen wir die Aktualität unseres OSMS sicher.  Das betrifft fast alle bisher gezeigten Bereich und stellt auch bei Veränderungen, beispielsweise bei den Leitlinien, die Effektivität des Systems sicher.

Ihr Ansprechpartner:

Manuel Bohé

MBA
Geschäftsführer
Auditor ISO/IEC 27001
Datenschutzbeauftragter (TÜV)

Tel. + 49 (0) 7223-808479-0

Ihre Kontaktdaten

Details

Wann möchten Sie kontaktiert werden?

Bevorzugtes Datum*

Bevorzugter Zeitraum*

+ Alternativen Termin hinzufügen

Alternatives Datum

Alternativer Zeitraum

*Mit diesem Symbol gekennzeichnete Felder sind Pflichtfelder

Ich habe die Datenschutzbestimmungen gelesen und akzeptiere diese.