ISO 27001 in mittelständischen Unternehmen

CIS Case Study

• Herr Rösch, was waren die Motive für die Einführung von Informationssicherheit nach ISO 27001?
  
  “Informationssicherheit ist für uns als Anbieter webbasierter Mietsoftware ein Business Need und nicht nur in der Automobilindustrie hochaktuell. Einer unserer Kunden, ein großes Zulieferunternehmen, verlangte explizit eine Zertifizierung nach ISO 27001 – vorausschauen, während er selbst noch vor der Implementierung stand.“



• Waren definierte Prozesse vorhanden oder war dieser Schritt Neuland?
  
  “Die Implementierung gestaltete sich leichter und schneller als erwartet. Vor allem, weil wir aufgrund unserer Geschäftsbeziehung zu einem US-börsennotierten Unternehmen bereits SOX-konforme Prozesse im Hause hatten. Die Anforderungen von ISO 27001 und Sarbanes Oxley überscheiden sich inhaltlich, daher konnten wir die Implementierung der ISO 27001 direkt auf den bereits definierten Prozessen aufsetzen.“



• Welche Strategie haben Sie für Implementierung und Zertifizierung verfolgt?
  
  “Zur effizienten Umsetzung des Standards haben wir einen Berater hinzugezogen: Die Analyse der Prozesse, das Überarbeiten der Dokumentation, die Durchführung einer Risikoanalyse sowie die Klassifizierung von Dokumenten haben wir mit externer Hilfe umgesetzt. So konnten wir die Implementierung innerhalb eines halben Jahres bewältigen. Zertifiziert wurde der gesamte Standort Wien mit Software-Entwicklung, Support und Administration. Als Vorbereitung für das Zertifizierungsaudit haben wie ein Stage Review der CIS in Anspruch genommen. Die Zertifizierung im ersten Anlauf zu erlangen, ist überaus wichtig für die Motivation der Mitarbeiter, die das System dauerhaft ‚leben‘ sollen.“



• Welchen internen Nutzen zieht das Unternehmen aus ISO 27001?
  
  “Die lückenlose Dokumentation aller Prozesse schafft Transparenz für das gesamte Unternehmen. Heikle Fragen wie die Vorgehensweise beim Ausscheiden von Mitarbeitern sind damit klar geregelt. Durch das Incident- und Change Management im Rahmen des ISO 27001 haben wir unserer Support-Prozesse verbessert und sämtliche dahinterliegende Workflows sowie den Einsatz von Trouble Tickets optimiert. So profitieren wir von der gesteigerten Effizienz und den klaren Abläufen. Unsere Kunden spüren dies in Form kürzerer Reaktions- und Durchlaufzeiten bei der Anfragebearbeitung. Daher war es uns auch wichtig, die Einführung der ISO 27001 mit einen Zertifikat zu besiegeln, um die interne Optimierung unserer Prozesse auch für unsere Kunden sichtbar zu machen.“



• Und die Vorteile gegenüber dem Mitbewerb?
  
  “Standardisierte Prozesse, anerkannt und geprüft durch die unabhängige Zertifizierungsorganisation CIS, sind ein handfester Wettbewerbsvorteil am Markt: Die Nachfrage von Seiten unserer Kunden nach einer ISO 27001-Zertifizierung ist im vergangenen Jahr deutlich gestiegen. Das Zertifikat vermittelt unseren Kunden die Sicherheit, einen verlässlichen Partner zu haben.“



• Wie haben Sie Risikomanagement nach ISO 27001 umgesetzt?
  
  “Der Bereich Risikomanagement war Neuland für uns, sodass wir diesen Aspekt mit einem Berater als Coach umgesetzt haben. Die Schwerpunkte lagen dabei vor allem auf Vertragsthemen, Haftungsfragen und weiteren juristischen Belangen, denn Ausfallsicherheit war bereits durch die SOX-Anforderungen abgedeckt.“



• Ist auch eine ISO-20000-Zertifizeriung geplant?
  
  “Ja, diese ist in Planung. Und zwar als integriertes System mit ISO 27001, um Synergien im Betrieb bis hin zu Kombinationsaudits nutzen zu können. ISO 20000 ermöglicht es, die ITIL-Konformität mittels Zertifikat nachzuweisen. Daher streben wir eine Zertifizierung nach ISO 20000 an – ein weiterer Wettbewerbsvorsprung im internationalen Konkurrenzkampf.“