Kundenbericht
ficonTEC: ISMS-Einführung und Zertifizierung
Die ficonTEC aus Achim benötigt für ihre Geschäftstätigkeit belegbare Nachweise für das Informationssicherheitsmanagement in der eigenen Organisation. Mit Unterstützung von affinis hat der Hersteller für Optoelektronik innerhalb von 14 Monaten ein Informationssicherheitsmanagementsystem (ISMS) eingeführt und gemäß ISO/IEC:27001-Norm von extern zertifizieren lassen.
Challenge
Von 0 auf 100 zum ISMS
Für einen verantwortungsvollen Umgang mit Informationen und Daten reicht es nicht mehr aus, sich nur innerhalb der eigenen Unternehmensgrenzen mit dem Thema Informationssicherheit zu beschäftigen. Immer mehr Endkunden erwarten in der gesamten Lieferkette mit den zugehörigen Dienstleistern eine Verpflichtung auf Informationssicherheit, ebenso wie nachweislich belastbare Verfahren in der Handhabung von möglichen Vorfällen. Als Produzent von Maschinen im Bereich der Optoelektronik treffen diese Erwartungen auch die ficonTEC mit Sitz in Achim. Um neuen und bestehenden Kunden einen Nachweis über die Informationssicherheit zu erbringen, plante das Unternehmen die Zertifizierung des Geschäftsbereichs nach ISO/IEC:27001.
Mit einem Zeithorizont von ungefähr einem Jahr war der Implementierungs- und Zertifizierungszeitraum für das ISMS verhältnismäßig kurz angesetzt. Da es intern an freien Ressourcen für die Einführung mangelte und zudem keine belastbaren Erfahrungen im Umgang mit Normen aus der Informationssicherheit sowie einem externen Audit bestanden, entschied sich die ficonTEC für eine Zusammenarbeit mit den Expert:innen von affinis.
Umsetzung
Phasenplan zur ISMS-Einführung gibt Planungssicherheit
Für die ISMS-Einführung griffen die affinis-Expert:innen auf ihren praxiserprobten Phasenplan zum Aufbau eines Information Security Management Systems zurück. Dieser setzt sich im Wesentlichen aus fünf Schritten zusammen. Zunächst fand ein initialer Workshop für die konkrete Anforderungsaufnahme, Zielsetzung und Scope-Definition statt. Danach erfolgte die Planung der benötigten Ressourcen und Aufwände. Diese wurden wiederum in einen konkreten Projektplan mit Zeitschienen und Zieldaten gegossen.
Der Aufbau des ISMS war als iterativer Prozess gestaltet, um die Teilschritte des Projekts in regelmäßigen Abständen abzusichern. Während wöchentlicher Abstimmungstermine synchronisierten die affinis-Beraterinnen und die ficonTEC-Mitarbeitenden den Status ihrer Arbeitspakete und gewährleisteten so den gemeinsamen Projektfortschritt. Als besonders hilfreich erwies sich bei der Zusammenarbeit die Nutzung von Microsoft Teams und Sharepoint, da coronabedingt keine Vor-Ort-Treffen möglich waren.
„Bei der Einführung von Managementsystemen können viel Zeit und Ressourcen für die Planung und Vision verloren gehen. Bei diesem Projekt war der Zeithorizont allerdings sehr kurz, sodass wir zielgerichtete Maßnahmen auf den Weg gebracht haben, um den Fortschritt zur Zertifizierung zu sichern“,
erklärt Nick Hein, Consultant bei affinis, das Projektvorgehen.
Das könnte Sie interessieren:
Erfolgreiche Zertifizierung nach 14 Monaten Projektlaufzeit
Für das notwendige technologische „Rückgrat“ des ISMS sorgte das Managed-Cloud-Services-Team von affinis. Sie unterstützten die Mitarbeitenden der ficonTEC beim Aufbau von dedizierten Netzsegmenten und VLANs sowie einer neuen Firewall.
Nach elf Monaten Projektlaufzeit fand das Stage 1-Audit des aufgebauten ISMS statt, um die Zertifizierungsreife des Systems zu bestimmen. Dieses wurde von der ficonTEC selbst durchgeführt. Drei Monate später erfolgte im Rahmen des durch affinis begleiteten Stage-2-Audits schließlich die erfolgreiche Erstzertifizierung des ISMS der ficonTEC, sodass das Projekt nach insgesamt 14 Monaten abgeschlossen werden konnte.
Vorteile
ISMS-Einführung mit Signalwirkung
Die logische Konsequenz aus der stringenten ISMS-Einführung ist die erreichte Zertifizierung. Das ISMS der ficonTEC ist damit für die kommenden drei Jahre gemäß einem – wenn nicht sogar dem einen – internationalen Standard für Informationssicherheit zertifiziert. Gleichzeitig ist der Kunde nun in der Lage, die aufgebauten Rollen und Prozesse seines Systems weitestgehend allein weiterzuentwickeln und zu optimieren. Als wesentlicher Bestandteil des Managementsystems wurde zudem ein Risikomanagementprozess beim Kunden etabliert. Dadurch ist es möglich, Gefährdungen und die damit verbundenen Risiken formalisiert zu bewerten und maßvoll zu steuern.
Insgesamt verfügt die ficonTEC nun über einen belastbaren und unabhängigen Nachweis für die Informationssicherheit im Unternehmen. Diesen Nachweis kann der Optoelektronik-Hersteller aus Achim nutzen, um gegenüber neuen und bestehenden Kunden das eigene Sicherheitslevel zu belegen, ohne dass dafür ein Site-Visit notwendig wäre. Die ficonTEC kommt damit der zunehmenden Erwartungshaltung ihrer Bestandskunden nach, die Einhaltung von Informationssicherheitsrichtlinien zu gewährleisten. Sie sichert damit nachhaltig ihre Wettbewerbsfähigkeit, denn auch bei der Neukundenakquise profitiert das Fertigungsunternehmen von der Signalwirkung der Zertifizierung.
Hohe Vertrauensbasis bei der Zusammenarbeit
Auf Prozessebene besitzt die ficonTEC nun außerdem ein eigenes Ticketing-System, das die internen Leistungen aggregiert abbildet und zentral steuerbar macht. Der Prozess gewinnt damit an Messbarkeit. Durch die Orientierung an führenden Standards (ITIL) ist es dem Kunden möglich, die eigenen Tätigkeiten in iterativen Schritten intern zu optimieren.
„Die Experten von affinis verfügen sowohl über zertifizierte Erfahrung im Projektmanagement als auch im Aufbau und Betrieb eines ISMS. Für unser Projekt war das die ideale Kombination. Auf der einen Seite haben wir praxisnahe Beratung im Bereich Informationssicherheit erhalten. Auf der anderen Seite konnten wir durch die effiziente Steuerung der Projektaufgaben die Zertifizierung innerhalb des sehr eng getakteten Zeitraums erreichen. Ein Grund dafür ist auch die hohe Vertrauensbasis, auf der die Zusammenarbeit mit affinis stattgefunden hat“,
berichtet Dirk Göttsche von der ficonTEC.
Wie können wir Ihnen helfen?
Nehmen Sie gerne Kontakt zu uns auf und lassen Sie sich unverbindlich beraten.
Weitere Referenzen
Unsere Projekte verändern die Art und Weise, wie unsere Kunden arbeiten. Kennen Sie schon diese Referenzen?
affinis in den sozialen Medien
affinis bei LinkedIn
Diskutieren Sie mit uns aktuelle und innovative Themen rund um die IT und unsere Fokusbereiche.
affinis bei Facebook
Einblicke in unser Unternehmen und die affinis-Mannschaft erhalten Sie auf Facebook.
YouTube-Channel
Bilder sagen mehr als tausend Worte: Noch mehr Inhalte gibt es auf unserem YouTube-Kanal.