21. Bře 2022

Případová studie: STŘEDNĚ VELKÉ FIRMY

Úspěšné zavedení ISO 27001 ve firmě Selected Services

Profil firmy:

Společnost Selected Services GmbH je SaaS specialista v prostředí SAP s více než 50 zaměstnanci se sídlem ve Vídni a pobočkami v Mnichově, Frankfurtu, Stuttgartu, Detroitu a Singapuru. ASP řešení (Application Service Providing) POOL4TOOL je na webu založený pronajímaný software s moduly pro optimalizaci procesů v oblastech nákup/SRM, logistika/SCM, vývoj a kvalita.

Interview: Technický ředitel (CTO) Michael Rösch

Pane Röschi, jaké byly Vaše motivy pro zavedení informační bezpečnosti podle ISO 27001?

Informační bezpečnost je pro nás jako poskytovatele pronajímaného softwaru založeného na webu obchodní nutností a není vysoce aktuální pouze v automobilovém průmyslu. Jeden z našich zákazníků, velká subdodavatelská firma, explicitně požadovala certifikaci podle ISO 27001 - preventivně, zatímco sami ještě byli před certifikací.

 

Měli jste definovány procesy nebo to byl krok do nové oblasti?

Implementace probíhala snadněji a rychleji, než se očekávalo. Především z toho důvodu, že jsme díky našemu obchodnímu vztahu s firmou kótovanou na americké burze již měli ve firmě procesy v souladu se směrnicí SOX. Požadavky ISO 27001 a Sarbanes Oxley se obsahově protínají, proto jsme mohli implementaci ISO 27001 naroubovat přímo na již definované procesy.

 

Jakou strategii jste sledovali při implementaci a certifikaci?

Kvůli efektivní realizaci standardů jsme přizvali poradce: Analýzu procesů, přepracování dokumentace, provedení analýzy rizik a klasifikaci dokumentů jsme realizovali s externí pomocí. Tak jsme dokázali implementaci zvládnout za půl roku. Certifikována byla celá pobočka ve Vídni s odděleními vývoj softwaru, podpora a administrace. Jako přípravu na certifikační audit jsme využili Stage Review společnosti CIS. Pro motivaci zaměstnanců, kteří mají systém trvale uplatňovat, je důležité dosáhnout certifikaci na první pokus.

Jaké interní výhody má firma z ISO 27001?

Kompletní dokumentace všech procesů znamená transparentnost pro celou firmu. Choulostivé otázky jako postup při odchodu zaměstnanců jsou tak jasně upraveny. Díky managementu incidentů a změn v rámci ISO 27001 jsme zlepšili naše podpůrné procesy a optimalizovali veškeré pracovní toky a použití trouble tickets. Profitujeme tak ze zvýšení efektivnosti a jasně definovaných postupů. Naši zákazníci to pociťují formou kratších reakčních a realizačních dob při zpracování poptávek. Proto pro nás bylo také důležité zpečetit zavedení ISO 27001 certifikátem, abychom interní optimalizaci našich procesů zviditelnili i pro naše zákazníky.

A výhody oproti konkurenci?

Standardizované procesy, uznávané a prověřené nezávislou certifikační organizací CIS, jsou reálnou konkurenční výhodnou na trhu: Poptávka ze strany našich zákazníků po certifikaci ISO 27001 v minulém roce výrazně vzrostla. Certifikát našim zákazníkům dodává jistotu, že jsme spolehlivým partnerem.

„Díky managementu incidentů a změn podle ISO 27001 jsme zlepšili naše podpůrné procesy a použití trouble tickets. Naši zákazníci to pociťují formou kratšího zpracování poptávek.“

Technický ředitel Michael Rösch - Selected Services

Jak jste realizovali management rizik podle ISO 27001?

Oblast managementu rizik pro nás byla novinkou, takže jsme tento aspekt realizovali společně s poradcem. Stěžejní body při tom byly smluvní témata, otázky odpovědnosti a další právní záležitosti, neboť otázky zabezpečení proti výpadkům již byly pokryty požadavky směrnice SOX.

Plánujete také certifikaci ISO 20000?

Ano, je v plánu. A sice jako integrovaný systém s ISO 27001, abychom mohli využít synergie až po kombinované audity. POOL4TOOL již odráží procesy v souladu s ITIL prostřednictvím vlastního ticketing modulu. ISO 20000 umožňuje prokázat shodu s ITIL prostřednictvím certifikátu. Proto usilujeme o certifikaci podle ISO 20000 - další výhodu v mezinárodním konkurenčním boji.

Více informací:

O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:

Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíte. Napište nám na office@cis-cert.cz. Věříme, že vaši důvěru nezklameme.

15. Led 2025

ISO 27001- nároky, přínosy

Faktory úspěchu

25. Lis 2024

6 kroků k úspěšné implementaci ISO 42001

Nová norma pro AI

11. Lis 2024

6 výhod certifikace ISO 42001

Nová norma pro AI

05. Lis 2024

Vyšší bezpečnost s ISO 27001

ISO 27001 zvyšuje bezpečnost informací pro 81 % certifikovaných společností

30. Říj 2024

Společnost CIS udělila první certifikát ISO 42001

Novinky z oblasti AI

18. Říj 2024

CIS Compliance Summit 2024: CISO of the Year

Ocenění pro inovátory, kteří dělají kybernetický život bezpečnější a jednodušší

17. Říj 2024

Jaký byl CIS Compliance Summit 2024

Etika AI zajišťuje infrastrukturu v úzké spolupráci se směrnicemi a certifikačními standardy

27. Zář 2024

World Quantum Readiness Day

26. září 2024 poprvé jako World Quantum Readiness Day

16. Zář 2024

Co Vás čeká – část II.

CIS Compliance Summit 2024

10. Zář 2024

Co Vás čeká – část I.

CIS Compliance Summit 2024

22. Srp 2024

Zpráva o globálních hrozbách 2024

Zjištění, trendy a doporučení

16. Srp 2024

DORA v praxi – díl II.

Technické možnosti a výzvy

+420 733 180 494