„In der IT kennt jeder den Satz: ‚Eat your own dog food'. Unsere Kunden kommen mehrheitlich aus den regulierten Bereichen der kritischen Infrastruktur. Diesen bieten wir Dienstleistungen wie Security Operations Center (SOC), Telematik (TI) und natürlich auch Governance, Risk Management & Compliance (GRC) an. Da gehört es dazu, dass wir als Anbieter zum Teil als Generalunternehmer agieren und unsere eigenen Sicherheits- und Qualitätsstandards unter Beweis stellen", erläutert Geschäftsführer Manuel Noe die Entscheidung, das Unternehmen diesem aufwendigen Zertifizierungsprozess zu unterziehen.
Nicht nur das Leistungs- und Qualitätsniveau wird nach außen dokumentiert. Die Überprüfung von Prozessen, Strukturen und Dokumenten sorgt für deren Optimierung, schärfen das Bewusstsein der Mitarbeiter, können die Unternehmensleistung steigern, Kosten senken sowie Kundenzufriedenheit und Rechtssicherheit erhöhen.
Das Zertifizierungsprojekt, das auf Basis eines agilen Projektmanagements mit wöchentlichen Sprintmeetings umgesetzt wurde, startete im März 2022. Bei der Evaluierung der Richtlinien und Dokumentationen stellte das sechsköpfige Projektteam fest, dass das interne ISMS die Norm-Anforderungen bereits weitestgehend erfüllte. Im Qualitätsmanagement-(QMS)-Bereich bestand jedoch Optimierungsbedarf. So wurden erweiterte Verfahren für die Bewertung der Prozessreife, zur Messung der Prozesseffektivität sowie zur Einführung und Bewertung von Kennzahlen etabliert.
Unabhängig von den Managementsystemen stellte man die Art und Weise der Mitarbeiterschulung mithilfe von KnowBe4 auf neue Füße. Diese Lösung, die u. a. Phishing-Simulationen und Awareness Trainings im eLearning unterstützt, wird auch von IS4IT Kritis vertrieben. Selbst der Prüfer bei den Zertifizierungsaudits, die vom 5. bis 10. Oktober 2022 an den Standorten Obrigheim und Oberhaching stattfanden, hob die Einführung dieser Software positiv hervor. So gab es keinerlei Abweichungen zu den Norm-Anforderungen, sondern lediglich einige Empfehlungen zur weiteren Optimierung. Dies ist allerdings bei Systemen, die einer laufenden Weiterentwicklung unterliegen, nahezu selbstverständlich. Bereits im Abschlussgespräch teilte der Auditor der DQS mit, dass er die Ausstellung der Zertifikate empfiehlt.
„Normalerweise nimmt man sich ein Jahr von der Einführung bis zur Zertifizierungsreife Zeit. Das positive Ergebnis macht deutlich, dass man bei einer agilen Vorgehensweise wirklich effektiv arbeitet", freut sich Björn Rudner, Leiter des Zertifizierungsprojektes und GRC-Verantwortlicher bei IS4IT Kritis. „Wir bieten diese Services ja selbst an und sollten somit wissen, auf was es ankommt. Das Audit verlief daher sehr streng, der Auditor hatte zu Recht einen hohen Standard erwartet und dementsprechend alles sehr kritisch hinterfragt. Es gab aber keine Beanstandungen", beschreibt Rudner den erfolgreichen Ablauf des Audits.
Die Zertifikate gelten für die Planung, Beratung, Bedarfsanalyse und den Betrieb von Managementsystemen und von Managed Security Services (MSS) sowie die Planung und Durchführung von Sicherheitsanalysen und Security-Infrastruktur-Projekten.
„Damit sind sämtliche für uns relevanten Themen durch die Zertifizierung abgedeckt. Gerade wenn es um Sicherheitsinfrastruktur wie Telematik (TI) oder Managed Security Services (MSS) oder unser Security Operations Center (SOC) geht, ist dieser Nachweis für die meisten Unternehmen von erheblicher Bedeutung. Unser GRC-Team hat hier hervorragende Arbeit geleistet, was die Expertise unserer Kollegen und Kolleginnen erneut bestätigt", lobt Siego Kreiter, einer der beiden Geschäftsführer der IS4IT KRITIS GmbH, den Projektverlauf.
Das Gesamtangebot im Bereich GRC der IS4IT KRITIS GmbH, zu dem auch die Unterstützung von Zertifizierungsprozessen gehört, findet man online unter www.is4it-kritis.de/de/grc/.