Internationaler Industriekonzern beauftragt IS4IT mit Support für Zertifizierung
Internationaler Industriekonzern beauftragt IS4IT mit Support
für Zertifizierung
Bei Einführung und Zertifizierung seines Informationssicherheitsmanagementsystems (ISMS) setzt
ein internationaler Industriekonzern auf die Zusammenarbeit mit IS4IT. Die erste Phase – die
Zertifizierungsplanung – wurde innerhalb von zwei Wochen durchgeführt. In Phase zwei begleiten die
Experten der IS4IT den Kunden bis zur Zertifizierung. Diese ist für Oktober 2019 geplant.
Oberhaching, 29.01.2019 – Der Konzern wurde seitens seiner Kunden aufgefordert, den Nachweis über die
Sicherheit einer Software per Zertifizierung zu erbringen. Da dies in dieser Form nicht einfach möglich ist,
entschied man sich, den gesamten Erstellungsprozess der Software sowie den Cloudbetrieb und das
zugehörige Managementsystem zertifizieren zu lassen. Um möglichst effizient und zielorientiert vorzugehen,
entschied man sich für die Zusammenarbeit mit IS4IT. Der praxisorientierte Ansatz im Sinne von „agiler
Zertifizierung“ sorgt dafür, dass Unternehmen ihre Zertifizierungsreife sehr schnell erreichen können.
Mehrstufiges Vorgehen ohne unnötigen administrativen Overhead
Der Prozess zur Zertifizierung gliedert sich in zwei Phasen. In der Planungsphase wird ein detaillierter
Maßnahmenplan gemeinsam mit dem Kunden entwickelt, der als Grundlage zur anschließenden Umsetzung
im ISMS dient. IS4IT begleitet die Kunden auch noch während der Zertifizierungs-Audits bis hin zur
erfolgreichen Zertifizierung des ISMS.
Für den Industriekonzern wurden während der ersten Phase zwei Workshops durchgeführt. Im Rahmen
eines eintägigen Scoping-Workshops wurde der Anwendungsbereich der Zertifizierung bestimmt, relevante
interne und externe regulatorische Vorgaben identifiziert sowie weitere Anforderungen festgehalten. An dem
Workshop waren vier Mitarbeiter der IS4IT sowie von Kundenseite der CIO, Führungskräfte aus dem Bereich
Produkt-Support, Projektmanagement, Software-Entwicklung und Cloud-Betrieb beteiligt. Um das Ziel der
Zertifizierungsreife des ISMS auf Basis ISO/IEC 27001:2013 möglichst schnell zu erreichen, entschied man
sich, den Fokus im Projekt auf Software-Entwicklung, Cloud-Service-Betrieb und die Kundenbetreuung zu
legen. Die Zertifizierungen der Geschäftsbereiche Vertrieb und Marketing wurden auf einen späteren
Zeitpunkt vertagt.
Zwei Wochen später wurde im Rahmen einer intensiven Gap-Analyse der Reifegrad und die prozessuale
Tiefe des Unternehmens ermittelt, um zu klären, inwieweit die Normanforderungen bereits erfüllt sind bzw.
wo Defizite bestehen. Von Mittwoch bis Freitagvormittag führte das IS4IT-Team die Interviews mit den
Verantwortlichen durch und stellte sofort den daraus resultierenden Maßnahmenplan zur Verfügung, der der
Geschäftsführung als Entscheidungsvorlage Freitagnachmittag präsentiert wurde.
„Der Zeitrahmen war etwas ambitioniert“, erinnert sich Björn Rudner, Senior Consultant und Projektleiter der
IS4IT GmbH. „Aber das Management war von dem Ergebnis begeistert, denn eine verständliche Exceldatei
mit rund vierzig Maßnahmen war das Resultat für den Kunden und kein ‚dickes Buch mit sieben Siegeln‘.
Somit wurde unser Angebot über Projektmanagement und Betreuung der Einführung des ISMS bis zur
Zertifizierung umgehend angenommen.“
Vierzig Maßnahmen bis zur Zertifizierungsreife
Auch das beauftragte Folgeprojekt ist entsprechend ehrgeizig. Hinter den vierzig Maßnahmen, die bis zu
den Zertifizierungsaudits im Sommer umzusetzen sind, verbirgt sich ein umfassender Katalog an Aktivitäten.
Dieser umfasst die Erweiterung des Rahmenwerks des ISMS, die Abstimmung der
Informationssicherheitsziele als übergeordnete Leitlinie mit Stakeholdern aus dem Management und den
Kunden unter Berücksichtigung der Vorgaben der Konzernmutter, die Zentralisierung der
Dokumentenlenkung, die Ausarbeitung eines internen Auditprogrammes sowie die Festlegung der Prozesse
des Risikomanagements. Dabei werden Personal- und Sicherheitsthemen ebenso adressiert wie die
Prozesse aus dem Betrieb oder dem Produktsupport. Weitere Bereiche, die im Rahmen des Projektes
überprüft werden, sind die Einhaltung der Datenschutzvorgaben sowie die Konformität mit DSGVO und
anderen gesetzlichen Regularien.
Für den definierten Anwendungsbereich müssen die notwendigen Vorgaben definiert bzw. finalisiert und die
Einhaltung der Vorgaben überprüft werden. Darüber hinaus werden die Mitarbeiter durch ein
entsprechendes Awareness-Programm qualifiziert. Dabei setzt IS4IT auf einen hybriden Ansatz zwischen
Wasserfall- und sprintbasiertem, agilen Projektmanagement, um die geforderte Umsetzungsgeschwindigkeit
zu erreichen.
„Unsere Mitarbeiter prüfen, ‚Was ist vorhanden?‘, und ergänzen Prozesse und Dokumentationen im
Bedarfsfall, sodass die Einhaltung der Normvorgaben gewährleistet ist und einer erfolgreichen Zertifizierung
nichts im Wege steht. Dank des technischen Know-hows unserer Consultants, was Entwicklung und Betrieb
angeht, gehen unsere Management-Berater sehr praxis- und damit kostenorientiert vor. Das Feedback der
Kunden zeigt, dass diese Vorgehensweise sehr geschätzt wird“, sagt Björn Rudner abschließend.
Weitere Informationen zu den Leistungen der IS4IT im Bereich Zertifizierung findet man unter www.is4it.de .
Unternehmensprofil IS4IT
Die IS4IT ist ein zertifiziertes unabhängiges IT-Unternehmen mit über 300 Mitarbeitern, das seinen Kunden
durchgängige Komplettlösungen für ihre gesamte IT- und Prozesslandschaft bietet. Mit den
Schwerpunktthemen Beratung, Informationssicherheit, Applikationen, Rechenzentrum & Infrastruktur,
Endgeräte und Service Desk setzen wir die Anforderungen im Mittelstand, von Großunternehmen und
internationalen Konzernen effizient in der Region DACH um.
Unternehmensprofil – IS4IT Kritis GmbH
Die IS4IT Kritis GmbH mit Hauptsitz in Sinsheim und einer Niederlassung in Oberhaching bei München
bietet Informationssicherheit für kritische Infrastrukturen und richtet sich mit ihrem Full-Service-Angebot an
Firmen und Organisationen mit erhöhtem Schutzbedarf für ihre IT. Schwerpunktthemen sind
Informationssicherheitsstrategien, Sicherheitsarchitekturen, Governance, Risk Management & Compliance
(GRC) sowie Datenschutz und Zertifizierungen. Die von IS4IT Kritis konzipierten Lösungen können
umgesetzt und als Services gemeinsam mit renommierten Partnern betrieben werden, wobei man für die
Kunden Gesamtkoordination und -verantwortung übernimmt. IS4IT Kritis ist als Mitglied im BSKI, der
Teletrust Security made in Germany sowie der Alliance für Cybersicherheit aktiv.