integration von: iso 9001/27001/20000 bei kapsch · pdf fileeinführung der iso 27001 eine...
TRANSCRIPT
1
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kapsch BusinessCom gehört zu den führenden IKT-Service-Providern in Österreich mit einem
Jahresumsatz von rund 300 Mio. Euro. Ein Großteil der Projekte ist von Hochsicherheitsan-
forderungen begleitet. Zu den Kunden von Kapsch gehören das Österreichische Bundesheer
ebenso wie namhafte Finanzdienstleister. Banken und Kreditkartenunternehmen verlangen
höchste Geheimhaltung und Datenintegrität. Daher setzt Kapsch BusinessCom bereits seit dem
Jahr 2004 auf die ISO-27001-Zertifizierung für Informationssicherheit und seit 2011 auf die
ISO-20000-Zertifizierung für IT Service Management. Integriert wurden beide Standards auf
Basis der ISO 9001 in ein Gesamtmanagementsystem für das ganze Unternehmen.
Integration von:
ISO 9001/27001/20000
bei Kapsch BusinessCom
CIS – Secure Your Business . Akkreditiert nach ISO 27001 und ISO 20000
Fallbeispiel: Integrierte Managementsysteme
Integration der
Managementsysteme wird
bei Kapsch BusinessCom groß
geschrieben.
Unterirdisches Kapsch-Hochsicherheitsrechenzentrum in Kapfenberg
Synergien durch ähnliche Strukturen
30 Prozent weniger Aufwand für Kombi-Audits
Integriertes Risk und Compliance Management
Fotocredit: istockphoto nmcandre
2
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Während sich der Scope der ISO 9001 und ISO 27001 österreichweit auf alle acht Standorte
mit insgesamt 1000 Mitarbeitern bezieht, umfasst die ISO 20000 nur den Bereich ICT Delivery.
Integration bei Systemelementen: Dokumentenlenkung
„Bei der ISO-27001-Einführung wurden die Normforderungen aus der Informationssicherheit
direkt in bestehende Prozesse integriert und Systemelemente wie Verantwortlichkeit des
Managements, KVP, Audits, Reviews oder Dokumentenlenkung um die zusätzlichen Aspekte
ergänzt“, berichtet Harald Strobl, bei Kapsch BusinessCom verantwortlich für die Leitung der
Managementsysteme. Das Beispiel der Dokumentenlenkung veranschaulicht die Synergien:
Während gemäß Qualitätsmanagement nur zwischen internen und externen Dokumenten
unterschieden wird, kommt aufgrund der Informationssicherheit die Klassifizierung in „öffent-
lich, intern, vertraulich, streng geheim“ hinzu. Und aus Sicht der ISO 20000 sind zusätzlich
Vertragsvorgaben für Service Level Agreements zu erstellen.
Synergien und Divergenzen
„Obwohl die Systemelemente in allen ISO-Managementsystemen gleichermaßen zur Anwen-
dung kommen, sind inhaltliche Überschneidungen bei den Prozessen naturgemäß nicht durch-
gängig“, erklärt Herbert Filacchione. Er fungiert für die Zertifizierungsorganisationen CIS und
Quality Austria als Auditor für ISO 9001, ISO 27001 und ISO 20000 – ein kombiniertes Audit
für alle Standards ermöglicht bis zu 30 Prozent Zeit- und Aufwandsersparnis. „Prozesse wie
Human Ressources, Incident und Problem Management können übergreifend mit spezifischen
Ausprägungen umgesetzt werden, während etwa technische Security-Prozesse nur ISO 27001
oder ISO 20000 betreffen“, führt er die Unterschiede aus. Zu ISO 20000 ergänzt er: „Wesent-
lich bei diesem Standard ist, dass Unternehmen Ihre Kosten pro Service exakt kalkulieren und
somit hochwertige Dienste zu sehr wettbewerbsfähigen Preisen anbieten können“.
Zentrale Prozesse: Recruiting und Angebotslegung
Übergreifende Prozesse können effizient um die jeweils zusätzlichen Normforderungen
erweitert werden: Während im Recruiting der Kapsch BusinessCom früher Abschlusszeugnisse
bei Bewerbungsgesprächen vorzulegen waren, ist heute in sicherheitsrelevanten Bereichen eine
umfassende Verlässlichkeitsprüfung erforderlich. Zudem müssen neue Mitarbeiter die Security-
Richtlinien unterschreiben, womit sie für Verstöße haften. Auch der Angebotsprozess hat durch
Einführung der ISO 27001 eine profitable Systematik erlangt. Während Angebote früher nach
Mindestkriterien gelegt wurden, muss ein Offert heute eine Risikoanalyse durchlaufen, in der
die Risiken dem Nutzen gegenübergestellt und die Projekte nach Größe und Anspruch klassi-
fiziert werden. Harald Strobl resümiert: „Durch die Informationssicherheit hat ein fundiertes
Risikoverständnis Einzug in unterschiedlichste Bereiche des Unternehmens gehalten.“
CIS – Secure Your Business . Akkreditiert nach ISO 27001 und ISO 20000
Fallbeispiel: Integrierte Managementsysteme
„Bei der ISO-27001
-Einführung haben wir die
Normforderungen direkt
in bestehende Prozesse
integriert.“
Harald Strobl, Leiter
Managementsysteme,
Kapsch BusinessCom AG
„Ein kombiniertes Audit
für alle drei Standards
ermöglicht bis zu 30 Pro-
zent Zeit- und Aufwandser-
sparnis.“
Herbert Fillacchione, CIS,
Quality Austria Auditor
3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Riskmanagement: neue Gesamtsicht
Das Riskmanagement der Kapsch BusinessCom ist generell ein Beispiel für eine gelungene
Integration. Anforderungen aus allen drei Standards werden hier abgebildet, Kennzahlen
ermittelt, möglichen Risiken gegenübergestellt und letztere monetär bewertet: „Aus QM-Sicht
ist dies etwa die Kundenzufriedenheit gegenüber Leistungsmängeln. Aus IS- und ITSM-Sicht
ist dies die Nutzung der Services und mögliche Verletzungen in Richtung Rechtssicherheit
oder Verfügbarkeit. Aus Sicht der Planungs- und Strategieprozesse werden mögliche Folgen
wegbrechender Märkte berechnet. So erhalten wir eine umfassende Gesamtsicht in Richtung
Enterprise Riskmanagement sowie aussagekräftige Kennzahlen für alle drei Standards“,
erklärt Strobl.
Vorteil für die oberste Leitung
Auch in sämtlichen Gremien werden die drei Managementthemen QM, IS und ITSM integriert
behandelt, was den Vorteil hat, das hochrangige Führungskräfte in einem Meeting alle drei
Bereiche bearbeiten und wertvolle Zeit sparen. „In der Kapsch BusinessCom sowie in der
gesamten Kapsch-Gruppe sind die Managementsysteme auf höchster Ebene angesiedelt, was
der Qualität und Reife des Gesamtsystems zu Gute kommt“, lobt Auditor Herbert Filacchi-
one. So führt die Kapsch-Gruppe monatlich ein Abstimmungsmeeting mit dem Vorstand und
verschiedenen Stabstellen durch. Innerhalb der Kapsch BusinessCom ist der Vorstand in die
Management Reviews eingebunden und im Sinne der Gesamtsicht werden hier zusätzlich zu
QM-, IS- und ITSM-Aspekten auch Fragen in Richtung Umwelt, Abfallwirtschaft und Brandschutz
behandelt. Zu den Prozess-Verantwortlichen gehören neben dem Vorstand auch das Manage-
ment aus dem Verkauf, aus dem Marketing sowie das Controlling oder die Rechtsabteilung.
Dabei sind Kontrollfragen und Checklisten zu den einzelnen Standards vollständig in die
Interviewleitfäden integriert, so dass die Verantwortlichen in internen Audits oder Befragungen
im Rahmen der Business Impact Analyse kaum bewusst wahrnehmen, auf welche Norm sich
eine gegenständliche Frage bezieht.
Auf der Zielgeraden
„Bei der Definition von Zielen lassen sich aus Unternehmenszielen unterstützende QM-, IS- und
ITSM-Ziele ableiten“, berichtet Harald Strobl. Lautet beispielsweise eine Unternehmensvorgabe
„20 Prozent Steigerung in einem Marktsegment“, so wird als abgeleitetes QM-Ziel etwa eine
Kundenzufriedenheit von über 95 Prozent definiert, als Security-Ziel die Reduktion der Ein-
trittswahrscheinlichkeit relevanter Sicherheitsvorfälle und als ITSM-Ziel eine Verfügbarkeit des
IT-Systems von mehr als 99,9 Prozent. „Auch für das Kunden-Feedback nach abgeschlossenen
Projekten werden die Fragen dazu aus allen drei Normen generiert und die Ergebnisse fließen
in die strategische Gesamtplanung ein“, ergänzt der Managementsystem-Leiter.
CIS – Secure Your Business . Akkreditiert nach ISO 27001 und ISO 20000
Fallbeispiel: Integrierte Managementsysteme
Im Riskmanagement
werden alle ISO-Standards
sowie Planungs- und Stra-
tegieprozesse abgebildet.
Aus Unternehmenszielen
lassen sich unterstützende
QM-, IS- und ITSM-Ziele
direkt ableiten.
Fotocredit: istockphoto faberfoto_it
Fotocredit: Fotolia Olivier Le Moal
4
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Schulungen: Kapsch University und E-Learning
Im Trainingsbereich profitiert das Gesamtsystem von der Logik aus dem Qualitätsmanagement,
mit seinen Anforderungen „Bedarfserhebung, Budgetierung, Durchführung, Erfolgsmessung“ –
wobei die gesamte Schulungsbedarfserhebung integrativ erfolgt: In Mitarbeitergesprächen wird
der Schulungsbedarf aus allen Bereichen individuell ermittelt, in die „Kapsch University“-Platt-
form eingepflegt und dort budgetiert. Parallel dazu wurde ein E-Learning-Tool implementiert,
womit nicht nur der Schulungsbedarf im Bereich Informationssicherheit flexibel abgedeckt
wird – ursprünglich wurde die Software dafür entwickelt. Zusätzlich kann das Tool leicht mit
anderen Inhalten befüllt und für andere Trainings adaptiert werden – von der ITIL-Schulung
bis zum Brandschutzkurs. Auch Prüfungen im Sinne einer Erfolgsmessung können absolviert
werden. Der Vorteil für die Anwender: „Unsere Mitarbeiter kennen das Tool bereits nach der
ersten Schulung und finden sich so dann bei weiteren Trainings gut zurecht“, betont Strobl.
Licht im Legal-Compliance-Dschungel
Ein weiteres wichtiges Element eines Integrierten Managementsystems ist die Legal Compli-
ance: „Die große Anzahl an Gesetzesänderungen aus den verschiedensten Bereichen bereitet
vielen Unternehmen Probleme“, berichtet Auditor Herbert Filacchione. Bei Kapsch BusinessCom
wurde die Gesetzesflut und das Konglomerat an Richtlinien zunächst mit einer Sharepoint-
Lösung verwaltet, was an Grenzen stieß – denn bei verteilten Standorten kommen auch
regionale Gesetze wie etwa eine geänderte Rauchfangkehrer-Verordnung in Dornbirn dazu.
„Mittlerweile nutzen wir eine optimale Strategie“, berichtet Strobl: „Wir verwenden eine
Rechtsmitteldatenbank in Kombination mit einem automatischen Änderungsdienst und erhalten
regelmäßig Meldungen über all jene Gesetzesänderungen, die auf unsere zuvor definierten
Anforderungen zutreffen.“ Als abschließenden Praxistipp unterstreicht Harald Strobl: „Sobald
das Integrierte Managementsystem eine solide Reife erreicht hat, kann das System insgesamt
schlanker werden. Daher lautet unser Motto heute: Weniger ist mehr. Nicht zu viel vorgeben,
sondern auch das selbständige Mitdenken der Mitarbeiter fördern und nutzen.“
Kombinierte Zertifizierungs- und Überwachungsaudits:
von CIS und Quality Austria
Durch ihre strategische Kooperation können die Zertifizierungsorganisationen CIS und Quality
Austria themenübergreifende Auditoren-Teams für kombinierte Zertifizierungs- und Über-
wachungsaudits zusammenstellen – viele Auditoren sind für die Prüfung von zwei bis drei
Standards ausgebildet. Schon bei der Audit-Planung wird Wert auf eine effiziente Durchfüh-
rung vor Ort gelegt. So können Synergien gezielt genutzt werden, womit der Zeitaufwand bei
Kombi-Audits im Vergleich zu mehreren Einzelaudits um bis zu 30 Prozent geringer ausfällt.
CIS – Secure Your Business . Akkreditiert nach ISO 27001 und ISO 20000
Fallbeispiel: Integrierte Managementsysteme
Synergien: Viele der Audi-
toren von CIS und Quality
Austria sind für die
Prüfung mehrerer
Standards ausgebildet.
Fotocredit: istockphoto Yuri
5
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Von der Implementierung zum Zertifikat
Die führenden Zertifizierungsorganisationen CIS und Quality Austria ergänzen sich thematisch:
Während CIS auf IT-affine Standards wie ISO 27001 für Informationssicherheit, ISO 20000
für IT-Service-Management und ANSI/TIA 942 für Rechenzentrumsinfrastruktur spezialisiert ist,
deckt Quality Austria industrie- und gewerbenahe Zertifizierungen ab. Die Grafik gibt einen
Überblick über den Zertifizierungsprozess bei ISO 27001 und / oder ISO 20000:
CIS - Certification & Information Security Services GmbH, A - 1010 Wien, Salztorgasse 2/6/14, Tel: +43 (0)1 532 98 90, www.cis-cert.com, [email protected]
Fallbeispiel: Integrierte Managementsysteme
Das Zertifikat macht
Wettbewerbsvorsprung
für Ihre Kunden
sichtbar
InformationsgesprächCIS-Erstgespräch: Details über Zertifizierungsprozess. Dann Registrierung, Projektplanung
AnalyseInterne Evaluierung des Verbesserungspotenzials, Bewertung vorhandener Maßnahmen.*
ImplementierungMaßnahmenumsetzung nach ISO 27001 und/oder ISO 20000 im Unternehmen*
CIS Stage Review (Vorbeurteilung)Optional: Projektbegleitende Prüfung der implementierten Elemente durch CIS-Auditoren
CIS System & Risk Review (Vorbegutachtung)CIS prüft Interpretation der Normforderungen und Dokumentation, „Generalprobe“
CIS Certification AuditÜberprüfung des Systems durch multiple Stichproben. Auditbericht mit zukünftigem Verbesse-
rungspotenzial. Das CIS-Zertifikat nach ISO 27001 / ISO 20000 gilt 3 Jahre
CIS Surveillance AuditDas einmal pro Jahr durchgeführte Surveillance Audit überprüft die Effektivität des gesamten
Managementsystems sowie seine ständige Verbesserung
CIS Recertification AuditNach 3 Jahren haben Sie die Möglichkeit, das abgelaufene Zertifikat erfolgreich zu erneuern
*Die CIS als unabhängige Prüfstelle ist nicht involviert
Fotocredit: istockphoto nico_blue
Fotocredit: Anna Rauchenberger