Aufgrund unternehmenskritischer Abhängigkeiten war unser Kunde gezwungen, seine IT internationalen Sicherheitsstandards anzupassen. Erklärtes Ziel war die Zertifizierung gemäß ISO 27001 und BSI-Standard. Dafür waren jedoch kaum notwendige Voraussetzungen erfüllt.

Vorbereitung zur ISO 27001-Zertifizierung

Branche

Industrie

Projekt-Sponsor

CIO / CFO

Herausforderung

  • Keine zertifizierte IT-Sicherheit
  • Massiver Druck seitens der Kunden zur Erlangung einer ISO 27001-Zertifzierung
  • Wettbewerbsnachteil ggü. anderen Herstellern mit ISO-Zertifizierung

Gründe

  • Unternehmenskritische Lieferbeziehungen zu den Kunden (zeitkritisch, IT-Sicherheitsrelevant, hohes finanzielles Risiko)
  • Massive Abhängigkeiten zwischen den nur wenigen Kunden des Unternehmens einerseits und dem Unternehmen selbst
  • Bisher nur technische Lösungsansätze für IT-Sicherheit, jedoch kaum organisatorische Aspekte
  • Kein zentraler IT-Security Officer, kaum geeignete Skills und Ressourcen im Unternehmen
  • Betrachtung der IT als Kostenstelle, jedoch nicht potenzieller als Wettbewerbsvorteil

Vision

  • Einführung von ISO 27001-konformen Strukturen (z.B. Information Security Management System)
  • Nachhaltige IT-Sicherheitsarchitekturen über alle Unternehmenteile und Tochtergesellschaften hinweg

Unser Beitrag

  • Durchführung eines Security-Audits
  • Risiko- und Security-Prozess-Analysen sowie entsprechende Abschätzungen, Bewertungen, Kosten-/Nutzenanalysen etc.
  • Sensibilisierung der Unternehmensführung hinsichtlich der IT-Security-Themen
  • Definition und Einführung von Ad-hoc-Maßnahmen im IT-Sicherheitsumfeld
  • Optimierung und Koordination unterschiedlicher IT-Sicherheitsaktivitäten im Unternehmen

Resultate

  • Anpassung der Gesamt-IT-Strategie unter Berücksichtigung wesentlicher IT-Sicherheitsanforderungen
  • Schaffung von Grundlagen für eine spätere ISO 27001-Zertifizierung, gemäß BSI-Standard
  • Initiierung und Priorisierung von wirtschaftlich sinnvollen und angemessen Security-Maßnahmen
  • Schaffung von wesentlichen Voraussetzungen für die erfolgreiche ISO 27001-Zertifizierung

Komplexität Managen

„Die Schwerpunkte der Insentis sind die Strategieentwicklung, das persönliche Coaching und das gezielte Managen von großen Projekten in komplexen Situationen.“

Dr. Roland Schütz, EVP Information Management & CIO Deutsche Lufthansa AG über die Zusammenarbeit mit der Insentis GmbH


Themen im Fokus