Aufgrund unternehmenskritischer Abhängigkeiten war unser Kunde gezwungen, seine IT internationalen Sicherheitsstandards anzupassen. Erklärtes Ziel war die Zertifizierung gemäß ISO 27001 und BSI-Standard. Dafür waren jedoch kaum notwendige Voraussetzungen erfüllt.
Vorbereitung zur ISO 27001-Zertifizierung
Branche
Industrie
Projekt-Sponsor
CIO / CFO
Herausforderung
- Keine zertifizierte IT-Sicherheit
- Massiver Druck seitens der Kunden zur Erlangung einer ISO 27001-Zertifzierung
- Wettbewerbsnachteil ggü. anderen Herstellern mit ISO-Zertifizierung
Gründe
- Unternehmenskritische Lieferbeziehungen zu den Kunden (zeitkritisch, IT-Sicherheitsrelevant, hohes finanzielles Risiko)
- Massive Abhängigkeiten zwischen den nur wenigen Kunden des Unternehmens einerseits und dem Unternehmen selbst
- Bisher nur technische Lösungsansätze für IT-Sicherheit, jedoch kaum organisatorische Aspekte
- Kein zentraler IT-Security Officer, kaum geeignete Skills und Ressourcen im Unternehmen
- Betrachtung der IT als Kostenstelle, jedoch nicht potenzieller als Wettbewerbsvorteil
Vision
- Einführung von ISO 27001-konformen Strukturen (z.B. Information Security Management System)
- Nachhaltige IT-Sicherheitsarchitekturen über alle Unternehmenteile und Tochtergesellschaften hinweg
Unser Beitrag
- Durchführung eines Security-Audits
- Risiko- und Security-Prozess-Analysen sowie entsprechende Abschätzungen, Bewertungen, Kosten-/Nutzenanalysen etc.
- Sensibilisierung der Unternehmensführung hinsichtlich der IT-Security-Themen
- Definition und Einführung von Ad-hoc-Maßnahmen im IT-Sicherheitsumfeld
- Optimierung und Koordination unterschiedlicher IT-Sicherheitsaktivitäten im Unternehmen
Resultate
- Anpassung der Gesamt-IT-Strategie unter Berücksichtigung wesentlicher IT-Sicherheitsanforderungen
- Schaffung von Grundlagen für eine spätere ISO 27001-Zertifizierung, gemäß BSI-Standard
- Initiierung und Priorisierung von wirtschaftlich sinnvollen und angemessen Security-Maßnahmen
- Schaffung von wesentlichen Voraussetzungen für die erfolgreiche ISO 27001-Zertifizierung