21. Bře 2022

Případová studie: STŘEDNĚ VELKÉ FIRMY

Úspěšné zavedení ISO 27001 ve firmě Selected Services

Profil firmy:

Společnost Selected Services GmbH je SaaS specialista v prostředí SAP s více než 50 zaměstnanci se sídlem ve Vídni a pobočkami v Mnichově, Frankfurtu, Stuttgartu, Detroitu a Singapuru. ASP řešení (Application Service Providing) POOL4TOOL je na webu založený pronajímaný software s moduly pro optimalizaci procesů v oblastech nákup/SRM, logistika/SCM, vývoj a kvalita.

Interview: Technický ředitel (CTO) Michael Rösch

Pane Röschi, jaké byly Vaše motivy pro zavedení informační bezpečnosti podle ISO 27001?

Informační bezpečnost je pro nás jako poskytovatele pronajímaného softwaru založeného na webu obchodní nutností a není vysoce aktuální pouze v automobilovém průmyslu. Jeden z našich zákazníků, velká subdodavatelská firma, explicitně požadovala certifikaci podle ISO 27001 - preventivně, zatímco sami ještě byli před certifikací.

 

Měli jste definovány procesy nebo to byl krok do nové oblasti?

Implementace probíhala snadněji a rychleji, než se očekávalo. Především z toho důvodu, že jsme díky našemu obchodnímu vztahu s firmou kótovanou na americké burze již měli ve firmě procesy v souladu se směrnicí SOX. Požadavky ISO 27001 a Sarbanes Oxley se obsahově protínají, proto jsme mohli implementaci ISO 27001 naroubovat přímo na již definované procesy.

 

Jakou strategii jste sledovali při implementaci a certifikaci?

Kvůli efektivní realizaci standardů jsme přizvali poradce: Analýzu procesů, přepracování dokumentace, provedení analýzy rizik a klasifikaci dokumentů jsme realizovali s externí pomocí. Tak jsme dokázali implementaci zvládnout za půl roku. Certifikována byla celá pobočka ve Vídni s odděleními vývoj softwaru, podpora a administrace. Jako přípravu na certifikační audit jsme využili Stage Review společnosti CIS. Pro motivaci zaměstnanců, kteří mají systém trvale uplatňovat, je důležité dosáhnout certifikaci na první pokus.

Jaké interní výhody má firma z ISO 27001?

Kompletní dokumentace všech procesů znamená transparentnost pro celou firmu. Choulostivé otázky jako postup při odchodu zaměstnanců jsou tak jasně upraveny. Díky managementu incidentů a změn v rámci ISO 27001 jsme zlepšili naše podpůrné procesy a optimalizovali veškeré pracovní toky a použití trouble tickets. Profitujeme tak ze zvýšení efektivnosti a jasně definovaných postupů. Naši zákazníci to pociťují formou kratších reakčních a realizačních dob při zpracování poptávek. Proto pro nás bylo také důležité zpečetit zavedení ISO 27001 certifikátem, abychom interní optimalizaci našich procesů zviditelnili i pro naše zákazníky.

A výhody oproti konkurenci?

Standardizované procesy, uznávané a prověřené nezávislou certifikační organizací CIS, jsou reálnou konkurenční výhodnou na trhu: Poptávka ze strany našich zákazníků po certifikaci ISO 27001 v minulém roce výrazně vzrostla. Certifikát našim zákazníkům dodává jistotu, že jsme spolehlivým partnerem.

„Díky managementu incidentů a změn podle ISO 27001 jsme zlepšili naše podpůrné procesy a použití trouble tickets. Naši zákazníci to pociťují formou kratšího zpracování poptávek.“

Technický ředitel Michael Rösch - Selected Services

Jak jste realizovali management rizik podle ISO 27001?

Oblast managementu rizik pro nás byla novinkou, takže jsme tento aspekt realizovali společně s poradcem. Stěžejní body při tom byly smluvní témata, otázky odpovědnosti a další právní záležitosti, neboť otázky zabezpečení proti výpadkům již byly pokryty požadavky směrnice SOX.

Plánujete také certifikaci ISO 20000?

Ano, je v plánu. A sice jako integrovaný systém s ISO 27001, abychom mohli využít synergie až po kombinované audity. POOL4TOOL již odráží procesy v souladu s ITIL prostřednictvím vlastního ticketing modulu. ISO 20000 umožňuje prokázat shodu s ITIL prostřednictvím certifikátu. Proto usilujeme o certifikaci podle ISO 20000 - další výhodu v mezinárodním konkurenčním boji.

Více informací:

O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:

Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíte. Napište nám na office@cis-cert.cz. Věříme, že vaši důvěru nezklameme.

24. Kvě 2022

Minimalizace rizik pro cloudové služby

certifikace ISO 27017

11. Kvě 2022

Bezpečnost a kvalita

Nejvyšší ohodnocení za integraci 27001 / 9001

14. Dub 2022

Nový komplexní pohled na firmu

Integrace ISO 27001 v Siemens IT Solutions & Services

21. Bře 2022

Audity na dálku

Přínosy & rizika

15. Bře 2022

ISO 27001 ve středně velkých firmách – 2

Efektivní implementace

07. Bře 2022

ISO 27001 ve středně velkých firmách – 1

Příklady efektivní implementace

02. Čvn 2021

8 tipů proti psychickému stresu

očima lékaře a psychologa

+420 733 180 494