ficonTEC: ISMS-Einführung und Zertifizierung

Von 0 auf 100 zum ISMS

Für einen verantwortungsvollen Umgang mit Informationen und Daten reicht es nicht mehr aus, sich nur innerhalb der eigenen Unternehmensgrenzen mit dem Thema Informationssicherheit zu beschäftigen. Immer mehr Endkunden erwarten in der gesamten Lieferkette mit den zugehörigen Dienstleistern eine Verpflichtung auf Informationssicherheit, ebenso wie nachweislich belastbare Verfahren in der Handhabung von möglichen Vorfällen. Als Produzent von Maschinen im Bereich der Optoelektronik treffen diese Erwartungen auch die ficonTEC mit Sitz in Achim. Um neuen und bestehenden Kunden einen Nachweis über die Informationssicherheit zu erbringen, plante das Unternehmen die Zertifizierung des Geschäftsbereichs nach ISO/IEC:27001.

Mit einem Zeithorizont von ungefähr einem Jahr war der Implementierungs- und Zertifizierungszeitraum für das ISMS verhältnismäßig kurz angesetzt. Da es intern an freien Ressourcen für die Einführung mangelte und zudem keine belastbaren Erfahrungen im Umgang mit Normen aus der Informationssicherheit sowie einem externen Audit bestanden, entschied sich die ficonTEC für eine Zusammenarbeit mit den Expert:innen von affinis.

Phasenplan zur ISMS-Einführung gibt Planungssicherheit

Für die ISMS-Einführung griffen die affinis-Expert:innen auf ihren praxiserprobten Phasenplan zum Aufbau eines Information Security Management Systems zurück. Dieser setzt sich im Wesentlichen aus fünf Schritten zusammen. Zunächst fand ein initialer Workshop für die konkrete Anforderungsaufnahme, Zielsetzung und Scope-Definition statt. Danach erfolgte die Planung der benötigten Ressourcen und Aufwände. Diese wurden wiederum in einen konkreten Projektplan mit Zeitschienen und Zieldaten gegossen.

Der Aufbau des ISMS war als iterativer Prozess gestaltet, um die Teilschritte des Projekts in regelmäßigen Abständen abzusichern. Während wöchentlicher Abstimmungstermine synchronisierten die affinis-Beraterinnen und die ficonTEC-Mitarbeitenden den Status ihrer Arbeitspakete und gewährleisteten so den gemeinsamen Projektfortschritt. Als besonders hilfreich erwies sich bei der Zusammenarbeit die Nutzung von Microsoft Teams und Sharepoint, da coronabedingt keine Vor-Ort-Treffen möglich waren.

„Bei der Einführung von Managementsystemen können viel Zeit und Ressourcen für die Planung und Vision verloren gehen. Bei diesem Projekt war der Zeithorizont allerdings sehr kurz, sodass wir zielgerichtete Maßnahmen auf den Weg gebracht haben, um den Fortschritt zur Zertifizierung zu sichern“,

erklärt Nick Hein, Consultant bei affinis, das Projektvorgehen.

ISMS-Einführung mit Signalwirkung

Die logische Konsequenz aus der stringenten ISMS-Einführung ist die erreichte Zertifizierung. Das ISMS der ficonTEC ist damit für die kommenden drei Jahre gemäß einem – wenn nicht sogar dem einen – internationalen Standard für Informationssicherheit zertifiziert. Gleichzeitig ist der Kunde nun in der Lage, die aufgebauten Rollen und Prozesse seines Systems weitestgehend allein weiterzuentwickeln und zu optimieren. Als wesentlicher Bestandteil des Managementsystems wurde zudem ein Risikomanagementprozess beim Kunden etabliert. Dadurch ist es möglich, Gefährdungen und die damit verbundenen Risiken formalisiert zu bewerten und maßvoll zu steuern.

Insgesamt verfügt die ficonTEC nun über einen belastbaren und unabhängigen Nachweis für die Informationssicherheit im Unternehmen. Diesen Nachweis kann der Optoelektronik-Hersteller aus Achim nutzen, um gegenüber neuen und bestehenden Kunden das eigene Sicherheitslevel zu belegen, ohne dass dafür ein Site-Visit notwendig wäre. Die ficonTEC kommt damit der zunehmenden Erwartungshaltung ihrer Bestandskunden nach, die Einhaltung von Informationssicherheitsrichtlinien zu gewährleisten. Sie sichert damit nachhaltig ihre Wettbewerbsfähigkeit, denn auch bei der Neukundenakquise profitiert das Fertigungsunternehmen von der Signalwirkung der Zertifizierung.

Hohe Vertrauensbasis bei der Zusammenarbeit

Auf Prozessebene besitzt die ficonTEC nun außerdem ein eigenes Ticketing-System, das die internen Leistungen aggregiert abbildet und zentral steuerbar macht. Der Prozess gewinnt damit an Messbarkeit. Durch die Orientierung an führenden Standards (ITIL) ist es dem Kunden möglich, die eigenen Tätigkeiten in iterativen Schritten intern zu optimieren.

„Die Experten von affinis verfügen sowohl über zertifizierte Erfahrung im Projektmanagement als auch im Aufbau und Betrieb eines ISMS. Für unser Projekt war das die ideale Kombination. Auf der einen Seite haben wir praxisnahe Beratung im Bereich Informationssicherheit erhalten. Auf der anderen Seite konnten wir durch die effiziente Steuerung der Projektaufgaben die Zertifizierung innerhalb des sehr eng getakteten Zeitraums erreichen. Ein Grund dafür ist auch die hohe Vertrauensbasis, auf der die Zusammenarbeit mit affinis stattgefunden hat“,

berichtet Dirk Göttsche von der ficonTEC.