21. Bře 2022

Případová studie: STŘEDNĚ VELKÉ FIRMY

Úspěšné zavedení ISO 27001 ve firmě Selected Services

Profil firmy:

Společnost Selected Services GmbH je SaaS specialista v prostředí SAP s více než 50 zaměstnanci se sídlem ve Vídni a pobočkami v Mnichově, Frankfurtu, Stuttgartu, Detroitu a Singapuru. ASP řešení (Application Service Providing) POOL4TOOL je na webu založený pronajímaný software s moduly pro optimalizaci procesů v oblastech nákup/SRM, logistika/SCM, vývoj a kvalita.

Interview: Technický ředitel (CTO) Michael Rösch

Pane Röschi, jaké byly Vaše motivy pro zavedení informační bezpečnosti podle ISO 27001?

Informační bezpečnost je pro nás jako poskytovatele pronajímaného softwaru založeného na webu obchodní nutností a není vysoce aktuální pouze v automobilovém průmyslu. Jeden z našich zákazníků, velká subdodavatelská firma, explicitně požadovala certifikaci podle ISO 27001 - preventivně, zatímco sami ještě byli před certifikací.

 

Měli jste definovány procesy nebo to byl krok do nové oblasti?

Implementace probíhala snadněji a rychleji, než se očekávalo. Především z toho důvodu, že jsme díky našemu obchodnímu vztahu s firmou kótovanou na americké burze již měli ve firmě procesy v souladu se směrnicí SOX. Požadavky ISO 27001 a Sarbanes Oxley se obsahově protínají, proto jsme mohli implementaci ISO 27001 naroubovat přímo na již definované procesy.

 

Jakou strategii jste sledovali při implementaci a certifikaci?

Kvůli efektivní realizaci standardů jsme přizvali poradce: Analýzu procesů, přepracování dokumentace, provedení analýzy rizik a klasifikaci dokumentů jsme realizovali s externí pomocí. Tak jsme dokázali implementaci zvládnout za půl roku. Certifikována byla celá pobočka ve Vídni s odděleními vývoj softwaru, podpora a administrace. Jako přípravu na certifikační audit jsme využili Stage Review společnosti CIS. Pro motivaci zaměstnanců, kteří mají systém trvale uplatňovat, je důležité dosáhnout certifikaci na první pokus.

Jaké interní výhody má firma z ISO 27001?

Kompletní dokumentace všech procesů znamená transparentnost pro celou firmu. Choulostivé otázky jako postup při odchodu zaměstnanců jsou tak jasně upraveny. Díky managementu incidentů a změn v rámci ISO 27001 jsme zlepšili naše podpůrné procesy a optimalizovali veškeré pracovní toky a použití trouble tickets. Profitujeme tak ze zvýšení efektivnosti a jasně definovaných postupů. Naši zákazníci to pociťují formou kratších reakčních a realizačních dob při zpracování poptávek. Proto pro nás bylo také důležité zpečetit zavedení ISO 27001 certifikátem, abychom interní optimalizaci našich procesů zviditelnili i pro naše zákazníky.

A výhody oproti konkurenci?

Standardizované procesy, uznávané a prověřené nezávislou certifikační organizací CIS, jsou reálnou konkurenční výhodnou na trhu: Poptávka ze strany našich zákazníků po certifikaci ISO 27001 v minulém roce výrazně vzrostla. Certifikát našim zákazníkům dodává jistotu, že jsme spolehlivým partnerem.

„Díky managementu incidentů a změn podle ISO 27001 jsme zlepšili naše podpůrné procesy a použití trouble tickets. Naši zákazníci to pociťují formou kratšího zpracování poptávek.“

Technický ředitel Michael Rösch - Selected Services

Jak jste realizovali management rizik podle ISO 27001?

Oblast managementu rizik pro nás byla novinkou, takže jsme tento aspekt realizovali společně s poradcem. Stěžejní body při tom byly smluvní témata, otázky odpovědnosti a další právní záležitosti, neboť otázky zabezpečení proti výpadkům již byly pokryty požadavky směrnice SOX.

Plánujete také certifikaci ISO 20000?

Ano, je v plánu. A sice jako integrovaný systém s ISO 27001, abychom mohli využít synergie až po kombinované audity. POOL4TOOL již odráží procesy v souladu s ITIL prostřednictvím vlastního ticketing modulu. ISO 20000 umožňuje prokázat shodu s ITIL prostřednictvím certifikátu. Proto usilujeme o certifikaci podle ISO 20000 - další výhodu v mezinárodním konkurenčním boji.

Více informací:

O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:

Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíte. Napište nám na office@cis-cert.cz. Věříme, že vaši důvěru nezklameme.

19. Dub 2023

New Work – potenciál, příležitost

Nové příležitosti, nový potenciál

17. Úno 2023

Den za bezpečnější internet

Safer Internet Day

10. Úno 2023

Nové vedení CIS GmbH

Změny v managementu od 01. 01. 2023

31. Led 2023

Mezinárodní den ochrany osobních údajů

26. Led 2023

Online kurz – Implementace změn ISO 27002:2022

Implementace změn a nových požadavků

10. Lis 2022

Revize norem ISO 27001 a ISO 27002:2022

Co přichází, co odchází a co zůstává?

23. Zář 2022

CIS Compliance Summit 2022

Jaký byl ročník 2022

14. Zář 2022

Zpráva o globálních hrozbách 2022 z oblasti kybernetických útoků

Co by Vám nemělo uniknout!

20. Srp 2022

ISO/IEC 27001:2022 – co je nového?

02. Čvn 2022

Vše o aktualizaci 27002:2022

24. Kvě 2022

Minimalizace rizik pro cloudové služby

certifikace ISO 27017

11. Kvě 2022

Bezpečnost a kvalita

Nejvyšší ohodnocení za integraci 27001 / 9001

+420 733 180 494