Mehrstufiges Vorgehen ohne unnötigen administrativen Overhead
Der Prozess zur Zertifizierung gliedert sich in zwei Phasen. In der Planungsphase wird ein detaillierter Maßnahmenplan gemeinsam mit dem Kunden entwickelt, der als Grundlage zur anschließenden Umsetzung im ISMS dient. IS4IT begleitet die Kunden auch noch während der Zertifizierungs-Audits bis hin zur erfolgreichen Zertifizierung des ISMS.
Für den Industriekonzern wurden während der ersten Phase zwei Workshops durchgeführt. Im Rahmen eines eintägigen Scoping-Workshops wurde der Anwendungsbereich der Zertifizierung bestimmt, relevante interne und externe regulatorische Vorgaben identifiziert sowie weitere Anforderungen festgehalten. An dem Workshop waren vier Mitarbeiter der IS4IT sowie von Kundenseite der CIO, Führungskräfte aus dem Bereich Produkt-Support, Projektmanagement, Software-Entwicklung und Cloud-Betrieb beteiligt. Um das Ziel der Zertifizierungsreife des ISMS auf Basis ISO/IEC 27001:2013 möglichst schnell zu erreichen, entschied man sich, den Fokus im Projekt auf Software-Entwicklung, Cloud-Service-Betrieb und die Kundenbetreuung zu legen. Die Zertifizierungen der Geschäftsbereiche Vertrieb und Marketing wurden auf einen späteren Zeitpunkt vertagt.
Zwei Wochen später wurde im Rahmen einer intensiven Gap-Analyse der Reifegrad und die prozessuale Tiefe des Unternehmens ermittelt, um zu klären, inwieweit die Normanforderungen bereits erfüllt sind bzw. wo Defizite bestehen. Von Mittwoch bis Freitagvormittag führte das IS4IT-Team die Interviews mit den Verantwortlichen durch und stellte sofort den daraus resultierenden Maßnahmenplan zur Verfügung, der der Geschäftsführung als Entscheidungsvorlage Freitagnachmittag präsentiert wurde.
„Der Zeitrahmen war etwas ambitioniert“, erinnert sich Björn Rudner, Senior Consultant und Projektleiter der IS4IT GmbH. „Aber das Management war von dem Ergebnis begeistert, denn eine verständliche Exceldatei mit rund vierzig Maßnahmen war das Resultat für den Kunden und kein ‚dickes Buch mit sieben Siegeln‘. Somit wurde unser Angebot über Projektmanagement und Betreuung der Einführung des ISMS bis zur Zertifizierung umgehend angenommen.“
Vierzig Maßnahmen bis zur Zertifizierungsreife
Auch das beauftragte Folgeprojekt ist entsprechend ehrgeizig. Hinter den vierzig Maßnahmen, die bis zu den Zertifizierungsaudits im Sommer umzusetzen sind, verbirgt sich ein umfassender Katalog an Aktivitäten. Dieser umfasst die Erweiterung des Rahmenwerks des ISMS, die Abstimmung der Informationssicherheitsziele als übergeordnete Leitlinie mit Stakeholdern aus dem Management und den Kunden unter Berücksichtigung der Vorgaben der Konzernmutter, die Zentralisierung der Dokumentenlenkung, die Ausarbeitung eines internen Auditprogrammes sowie die Festlegung der Prozesse des Risikomanagements. Dabei werden Personal- und Sicherheitsthemen ebenso adressiert wie die Prozesse aus dem Betrieb oder dem Produktsupport. Weitere Bereiche, die im Rahmen des Projektes überprüft werden, sind die Einhaltung der Datenschutzvorgaben sowie die Konformität mit DSGVO und anderen gesetzlichen Regularien.
Für den definierten Anwendungsbereich müssen die notwendigen Vorgaben definiert bzw. finalisiert und die Einhaltung der Vorgaben überprüft werden. Darüber hinaus werden die Mitarbeiter durch ein entsprechendes Awareness-Programm qualifiziert. Dabei setzt IS4IT auf einen hybriden Ansatz zwischen Wasserfall- und sprintbasiertem, agilen Projektmanagement, um die geforderte Umsetzungsgeschwindigkeit zu erreichen.
„Unsere Mitarbeiter prüfen, ‚Was ist vorhanden?‘, und ergänzen Prozesse und Dokumentationen im Bedarfsfall, sodass die Einhaltung der Normvorgaben gewährleistet ist und einer erfolgreichen Zertifizierung nichts im Wege steht. Dank des technischen Know-hows unserer Consultants, was Entwicklung und Betrieb angeht, gehen unsere Management-Berater sehr praxis- und damit kostenorientiert vor. Das Feedback der Kunden zeigt, dass diese Vorgehensweise sehr geschätzt wird“, sagt Björn Rudner abschließend.
Weitere Informationen zu den Leistungen der IS4IT im Bereich Zertifizierung finden Sie unter www.is4it.de.
Unternehmensprofil IS4IT
Die IS4IT ist ein unabhängiges IT-Unternehmen mit über 300 Mitarbeitern, das seinen Kunden durchgängige Komplettlösungen für ihre gesamte IT- und Prozesslandschaft bietet. Mit den Schwerpunktthemen Beratung, Informationssicherheit, Applikationen, Rechenzentrum & Infrastruktur, Endgeräte und Service Desk setzen wir die Anforderungen im Mittelstand, von Großunternehmen und internationalen Konzernen effizient in der Region DACH um.
Unternehmensprofil – IS4IT Kritis GmbH
Die IS4IT Kritis GmbH mit Hauptsitz in Sinsheim und einer Niederlassung in Oberhaching bei München bietet Informationssicherheit für kritische Infrastrukturen und richtet sich mit ihrem Full-Service-Angebot an Firmen und Organisationen mit erhöhtem Schutzbedarf für ihre IT. Schwerpunktthemen sind Informationssicherheitsstrategien, Sicherheitsarchitekturen, Governance, Risk Management & Compliance (GRC) sowie Datenschutz und Zertifizierungen. Die von IS4IT Kritis konzipierten Lösungen können umgesetzt und als Services gemeinsam mit renommierten Partnern betrieben werden, wobei man für die Kunden Gesamtkoordination und verantwortung übernimmt. IS4IT Kritis ist als Mitglied im BSKI, der Teletrust Security made in Germany sowie der Alliance für Cybersicherheit aktiv.
IS4IT
Grünwalder Weg 28b
82041 Oberhaching bei München
Telefon: +49 (89) 6389848-0
Telefax: +49 (89) 6389848-9
http://www.is4it.de
Marketing
Telefon: +49 (89) 6389848-0
E-Mail: marketing@is4it.de