Der Konzern wurde seitens seiner Kunden aufgefordert, den Nachweis über die Sicherheit einer Software per Zertifizierung zu erbringen. Da dies in dieser Form nicht einfach möglich ist, entschied man sich, den gesamten Erstellungsprozess der Software sowie den Cloudbetrieb und das zugehörige Managementsystem zertifizieren zu lassen. Um möglichst effizient und zielorientiert vorzugehen, entschied man sich für die Zusammenarbeit mit IS4IT. Der praxisorientierte Ansatz im Sinne von „agiler Zertifizierung“ sorgt dafür, dass Unternehmen ihre Zertifizierungsreife sehr schnell erreichen können.
Mehrstufiges Vorgehen ohne unnötigen administrativen Overhead
Der Prozess zur Zertifizierung gliedert sich in zwei Phasen. In der Planungsphase wird ein detaillierter Maßnahmenplan gemeinsam mit dem Kunden entwickelt, der als Grundlage zur anschließenden Umsetzung im ISMS dient. IS4IT begleitet die Kunden auch noch während der Zertifizierungs-Audits bis hin zur erfolgreichen Zertifizierung des ISMS.
Für den Industriekonzern wurden während der ersten Phase zwei Workshops durchgeführt. Im Rahmen eines eintägigen Scoping-Workshops wurde der Anwendungsbereich der Zertifizierung bestimmt, relevante interne und externe regulatorische Vorgaben identifiziert sowie weitere Anforderungen festgehalten. An dem Workshop waren vier Mitarbeiter der IS4IT sowie von Kundenseite der CIO, Führungskräfte aus dem Bereich Produkt-Support, Projektmanagement, Software-Entwicklung und Cloud-Betrieb beteiligt. Um das Ziel der Zertifizierungsreife des ISMS auf Basis ISO/IEC 27001:2013 möglichst schnell zu erreichen, entschied man sich, den Fokus im Projekt auf Software-Entwicklung, Cloud-Service-Betrieb und die Kundenbetreuung zu legen. Die Zertifizierungen der Geschäftsbereiche Vertrieb und Marketing wurden auf einen späteren Zeitpunkt vertagt.
Zwei Wochen später wurde im Rahmen einer intensiven Gap-Analyse der Reifegrad und die prozessuale Tiefe des Unternehmens ermittelt, um zu klären, inwieweit die Normanforderungen bereits erfüllt sind bzw. wo Defizite bestehen. Von Mittwoch bis Freitagvormittag führte das IS4IT-Team die Interviews mit den Verantwortlichen durch und stellte sofort den daraus resultierenden Maßnahmenplan zur Verfügung, der der Geschäftsführung als Entscheidungsvorlage Freitagnachmittag präsentiert wurde.
„Der Zeitrahmen war etwas ambitioniert“, erinnert sich Björn Rudner, Senior Consultant und Projektleiter der IS4IT GmbH. „Aber das Management war von dem Ergebnis begeistert, denn eine verständliche Exceldatei mit rund vierzig Maßnahmen war das Resultat für den Kunden und kein ‚dickes Buch mit sieben Siegeln‘. Somit wurde unser Angebot über Projektmanagement und Betreuung der Einführung des ISMS bis zur Zertifizierung umgehend angenommen.“
Vierzig Maßnahmen bis zur Zertifizierungsreife
Auch das beauftragte Folgeprojekt ist entsprechend ehrgeizig. Hinter den vierzig Maßnahmen, die bis zu den Zertifizierungsaudits im Sommer umzusetzen sind, verbirgt sich ein umfassender Katalog an Aktivitäten. Dieser umfasst die Erweiterung des Rahmenwerks des ISMS, die Abstimmung der Informationssicherheitsziele als übergeordnete Leitlinie mit Stakeholdern aus dem Management und den Kunden unter Berücksichtigung der Vorgaben der Konzernmutter, die Zentralisierung der Dokumentenlenkung, die Ausarbeitung eines internen Auditprogrammes sowie die Festlegung der Prozesse des Risikomanagements. Dabei werden Personal- und Sicherheitsthemen ebenso adressiert wie die Prozesse aus dem Betrieb oder dem Produktsupport. Weitere Bereiche, die im Rahmen des Projektes überprüft werden, sind die Einhaltung der Datenschutzvorgaben sowie die Konformität mit DSGVO und anderen gesetzlichen Regularien.
Für den definierten Anwendungsbereich müssen die notwendigen Vorgaben definiert bzw. finalisiert und die Einhaltung der Vorgaben überprüft werden. Darüber hinaus werden die Mitarbeiter durch ein entsprechendes Awareness-Programm qualifiziert. Dabei setzt IS4IT auf einen hybriden Ansatz zwischen Wasserfall- und sprintbasiertem, agilen Projektmanagement, um die geforderte Umsetzungsgeschwindigkeit zu erreichen.
„Unsere Mitarbeiter prüfen, ‚Was ist vorhanden?‘, und ergänzen Prozesse und Dokumentationen im Bedarfsfall, sodass die Einhaltung der Normvorgaben gewährleistet ist und einer erfolgreichen Zertifizierung nichts im Wege steht. Dank des technischen Know-hows unserer Consultants, was Entwicklung und Betrieb angeht, gehen unsere Management-Berater sehr praxis- und damit kostenorientiert vor. Das Feedback der Kunden zeigt, dass diese Vorgehensweise sehr geschätzt wird“, sagt Björn Rudner abschließend.
Weitere Informationen zu den Leistungen der IS4IT im Bereich Zertifizierung finden Sie unter www.is4it.de.
Mehrstufiges Vorgehen ohne unnötigen administrativen Overhead
Der Prozess zur Zertifizierung gliedert sich in zwei Phasen. In der Planungsphase wird ein detaillierter Maßnahmenplan gemeinsam mit dem Kunden entwickelt, der als Grundlage zur anschließenden Umsetzung im ISMS dient. IS4IT begleitet die Kunden auch noch während der Zertifizierungs-Audits bis hin zur erfolgreichen Zertifizierung des ISMS.
Für den Industriekonzern wurden während der ersten Phase zwei Workshops durchgeführt. Im Rahmen eines eintägigen Scoping-Workshops wurde der Anwendungsbereich der Zertifizierung bestimmt, relevante interne und externe regulatorische Vorgaben identifiziert sowie weitere Anforderungen festgehalten. An dem Workshop waren vier Mitarbeiter der IS4IT sowie von Kundenseite der CIO, Führungskräfte aus dem Bereich Produkt-Support, Projektmanagement, Software-Entwicklung und Cloud-Betrieb beteiligt. Um das Ziel der Zertifizierungsreife des ISMS auf Basis ISO/IEC 27001:2013 möglichst schnell zu erreichen, entschied man sich, den Fokus im Projekt auf Software-Entwicklung, Cloud-Service-Betrieb und die Kundenbetreuung zu legen. Die Zertifizierungen der Geschäftsbereiche Vertrieb und Marketing wurden auf einen späteren Zeitpunkt vertagt.
Zwei Wochen später wurde im Rahmen einer intensiven Gap-Analyse der Reifegrad und die prozessuale Tiefe des Unternehmens ermittelt, um zu klären, inwieweit die Normanforderungen bereits erfüllt sind bzw. wo Defizite bestehen. Von Mittwoch bis Freitagvormittag führte das IS4IT-Team die Interviews mit den Verantwortlichen durch und stellte sofort den daraus resultierenden Maßnahmenplan zur Verfügung, der der Geschäftsführung als Entscheidungsvorlage Freitagnachmittag präsentiert wurde.
„Der Zeitrahmen war etwas ambitioniert“, erinnert sich Björn Rudner, Senior Consultant und Projektleiter der IS4IT GmbH. „Aber das Management war von dem Ergebnis begeistert, denn eine verständliche Exceldatei mit rund vierzig Maßnahmen war das Resultat für den Kunden und kein ‚dickes Buch mit sieben Siegeln‘. Somit wurde unser Angebot über Projektmanagement und Betreuung der Einführung des ISMS bis zur Zertifizierung umgehend angenommen.“
Vierzig Maßnahmen bis zur Zertifizierungsreife
Auch das beauftragte Folgeprojekt ist entsprechend ehrgeizig. Hinter den vierzig Maßnahmen, die bis zu den Zertifizierungsaudits im Sommer umzusetzen sind, verbirgt sich ein umfassender Katalog an Aktivitäten. Dieser umfasst die Erweiterung des Rahmenwerks des ISMS, die Abstimmung der Informationssicherheitsziele als übergeordnete Leitlinie mit Stakeholdern aus dem Management und den Kunden unter Berücksichtigung der Vorgaben der Konzernmutter, die Zentralisierung der Dokumentenlenkung, die Ausarbeitung eines internen Auditprogrammes sowie die Festlegung der Prozesse des Risikomanagements. Dabei werden Personal- und Sicherheitsthemen ebenso adressiert wie die Prozesse aus dem Betrieb oder dem Produktsupport. Weitere Bereiche, die im Rahmen des Projektes überprüft werden, sind die Einhaltung der Datenschutzvorgaben sowie die Konformität mit DSGVO und anderen gesetzlichen Regularien.
Für den definierten Anwendungsbereich müssen die notwendigen Vorgaben definiert bzw. finalisiert und die Einhaltung der Vorgaben überprüft werden. Darüber hinaus werden die Mitarbeiter durch ein entsprechendes Awareness-Programm qualifiziert. Dabei setzt IS4IT auf einen hybriden Ansatz zwischen Wasserfall- und sprintbasiertem, agilen Projektmanagement, um die geforderte Umsetzungsgeschwindigkeit zu erreichen.
„Unsere Mitarbeiter prüfen, ‚Was ist vorhanden?‘, und ergänzen Prozesse und Dokumentationen im Bedarfsfall, sodass die Einhaltung der Normvorgaben gewährleistet ist und einer erfolgreichen Zertifizierung nichts im Wege steht. Dank des technischen Know-hows unserer Consultants, was Entwicklung und Betrieb angeht, gehen unsere Management-Berater sehr praxis- und damit kostenorientiert vor. Das Feedback der Kunden zeigt, dass diese Vorgehensweise sehr geschätzt wird“, sagt Björn Rudner abschließend.
Weitere Informationen zu den Leistungen der IS4IT im Bereich Zertifizierung finden Sie unter www.is4it.de.
