Případová studie: STŘEDNĚ VELKÉ FIRMY
Úspěšné zavedení ISO 27001 ve firmě Selected Services
Profil firmy:
Společnost Selected Services GmbH je SaaS specialista v prostředí SAP s více než 50 zaměstnanci se sídlem ve Vídni a pobočkami v Mnichově, Frankfurtu, Stuttgartu, Detroitu a Singapuru. ASP řešení (Application Service Providing) POOL4TOOL je na webu založený pronajímaný software s moduly pro optimalizaci procesů v oblastech nákup/SRM, logistika/SCM, vývoj a kvalita.
Interview: Technický ředitel (CTO) Michael Rösch
Pane Röschi, jaké byly Vaše motivy pro zavedení informační bezpečnosti podle ISO 27001?
Informační bezpečnost je pro nás jako poskytovatele pronajímaného softwaru založeného na webu obchodní nutností a není vysoce aktuální pouze v automobilovém průmyslu. Jeden z našich zákazníků, velká subdodavatelská firma, explicitně požadovala certifikaci podle ISO 27001 - preventivně, zatímco sami ještě byli před certifikací.
Měli jste definovány procesy nebo to byl krok do nové oblasti?
Implementace probíhala snadněji a rychleji, než se očekávalo. Především z toho důvodu, že jsme díky našemu obchodnímu vztahu s firmou kótovanou na americké burze již měli ve firmě procesy v souladu se směrnicí SOX. Požadavky ISO 27001 a Sarbanes Oxley se obsahově protínají, proto jsme mohli implementaci ISO 27001 naroubovat přímo na již definované procesy.
Jakou strategii jste sledovali při implementaci a certifikaci?
Kvůli efektivní realizaci standardů jsme přizvali poradce: Analýzu procesů, přepracování dokumentace, provedení analýzy rizik a klasifikaci dokumentů jsme realizovali s externí pomocí. Tak jsme dokázali implementaci zvládnout za půl roku. Certifikována byla celá pobočka ve Vídni s odděleními vývoj softwaru, podpora a administrace. Jako přípravu na certifikační audit jsme využili Stage Review společnosti CIS. Pro motivaci zaměstnanců, kteří mají systém trvale uplatňovat, je důležité dosáhnout certifikaci na první pokus.
Jaké interní výhody má firma z ISO 27001?
Kompletní dokumentace všech procesů znamená transparentnost pro celou firmu. Choulostivé otázky jako postup při odchodu zaměstnanců jsou tak jasně upraveny. Díky managementu incidentů a změn v rámci ISO 27001 jsme zlepšili naše podpůrné procesy a optimalizovali veškeré pracovní toky a použití trouble tickets. Profitujeme tak ze zvýšení efektivnosti a jasně definovaných postupů. Naši zákazníci to pociťují formou kratších reakčních a realizačních dob při zpracování poptávek. Proto pro nás bylo také důležité zpečetit zavedení ISO 27001 certifikátem, abychom interní optimalizaci našich procesů zviditelnili i pro naše zákazníky.
A výhody oproti konkurenci?
Standardizované procesy, uznávané a prověřené nezávislou certifikační organizací CIS, jsou reálnou konkurenční výhodnou na trhu: Poptávka ze strany našich zákazníků po certifikaci ISO 27001 v minulém roce výrazně vzrostla. Certifikát našim zákazníkům dodává jistotu, že jsme spolehlivým partnerem.
„Díky managementu incidentů a změn podle ISO 27001 jsme zlepšili naše podpůrné procesy a použití trouble tickets. Naši zákazníci to pociťují formou kratšího zpracování poptávek.“
Technický ředitel Michael Rösch - Selected Services
Jak jste realizovali management rizik podle ISO 27001?
Oblast managementu rizik pro nás byla novinkou, takže jsme tento aspekt realizovali společně s poradcem. Stěžejní body při tom byly smluvní témata, otázky odpovědnosti a další právní záležitosti, neboť otázky zabezpečení proti výpadkům již byly pokryty požadavky směrnice SOX.
Plánujete také certifikaci ISO 20000?
Ano, je v plánu. A sice jako integrovaný systém s ISO 27001, abychom mohli využít synergie až po kombinované audity. POOL4TOOL již odráží procesy v souladu s ITIL prostřednictvím vlastního ticketing modulu. ISO 20000 umožňuje prokázat shodu s ITIL prostřednictvím certifikátu. Proto usilujeme o certifikaci podle ISO 20000 - další výhodu v mezinárodním konkurenčním boji.
Více informací:
- přehled o certifikaci ISO 27001 naleznete zde: ISO 27001
- nabídku kurzů si můžete prohlédnout zde: Série kurzů Manažer IS dle ISO 27001, Série kurzů Auditor IS dle 27001
O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:
Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíte. Napište nám na office@cis-cert.cz. Věříme, že vaši důvěru nezklameme.