Case Study: dhpg begleitet GOPA Group Service GmbH bei ISO/IEC-27001-Zertifizierung
Die Herausforderung: Informationssicherheit anhand hoher Standards sicherstellen
Die GOPA Group Service GmbH setzt auf die dhpg als erfahrenen Partner in der Umsetzung des weltweiten Standards ISO/IEC 27001 für die Bewertung der Sicherheit von Informationen und IT-Umgebungen. In diesem Zusammenhang war es Aufgabe der dhpg, die Sicherheit der Informationen und IT-Systeme strukturiert zu prüfen, Unternehmensprozesse zur Verfügbarkeit der IT-Systeme sowie Gewährleistung der IT-Sicherheit weiterzuentwickeln und die erfolgreiche Zertifizierung durch den TÜV Rheinland vorzubereiten und zu begleiten.
Die GOPA Group, Bad Homburg, ist das führende deutsche Unternehmen in der Beratung von Entwicklungs- und Schwellenländern. Als international tätige Consulting-Gesellschaft gilt es, den Kunden und Geschäftspartnern ein hohes Maß an Sicherheit zu bieten und die Verfügbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme zu gewährleisten.
Die ISO/IEC-27001-Zertifizierung: Internationale Norm für die IT-Sicherheit
Die ISO/IEC-27001-Zertifizierung ist der weltweit führende Standard für die Informationssicherheit. Sie beschreibt die Anforderungen an die Umsetzung und die Dokumentation eines Informationssicherheits-Managementsystems (ISMS). Die Zertifizierung ist für Unternehmen jeder Größe geeignet und bestimmt Anforderungen an die Einführung, Umsetzung, Überwachung, Dokumentation und Verbesserung eines ISMS. Die ISO/IEC-27001-Norm bietet dadurch einen strukturierten, systematischen Ansatz für einen besseren Schutz vertraulicher Daten und eine höhere Verfügbarkeit von IT-Systemen. So können Risiken minimiert und Sicherheitsstandards im Unternehmen etabliert werden, die zur nachhaltigen Optimierung der Qualität der Systeme und Prozesse beitragen.
Die Zertifizierung verankert das Thema Informationssicherheit fest im Unternehmensalltag über alle Hierarchieebenen hinweg, optimiert systematisch die Informationssicherheit und passt diese an individuelle Anforderungen an. Ein robustes ISMS schützt darüber hinaus auch vor Unterbrechungen im Betriebsablauf und steigert die Wettbewerbsfähigkeit. Mit der Zertifizierung der ISMS wird die Informationssicherheit bewusst in den Fokus gerückt und dies auch nach außen präsentiert. Ein Zertifikat nach dem ISO/IEC-27001-Prüfzeichen zeigt Kunden und Geschäftspartnern, dass Informationssicherheit eine Unternehmenspriorität ist, und schafft Vertrauen.
Der dhpg-Ansatz: Gemeinsame Weiterentwicklung des Sicherheitskonzepts
Ziel der dhpg war die Begleitung und Vorbereitung der Zertifizierung des ISMS der GOPA Group Service GmbH nach dem weltweiten Standard ISO/IEC 27001 durch den TÜV Rheinland.
- Analyse und Bestandsaufnahme der aktuellen individuellen Situation der Informationssicherheitspolitik, u.a. in den Bereichen der Kernziele Vertraulichkeit, Integrität und Verfügbarkeit
- Durchführung einer GAP-Analyse anhand eines Katalogs von Fragen im Interviewverfahren; das Ergebnis stellt eine detaillierte Auswertung anhand von Kennzahlen zum Reifegrad der aktuellen Informationssicherheit dar
- Identifikation der wichtigsten Assets und Unterstützung bei der Erstellung eines Asset-Verzeichnisses
- Identifikation von Schwachstellen und Bedrohungen in Hinsicht auf die erfassten Assets – Bewertung der identifizierten Risiken, Erstellung einer Risikolandkarte und Erarbeitung eines Risikobehandlungsplans
- Festlegung des Anwendungsbereichs des ISMS und Einweisung in das Thema ISO/ICE 27001
- Begleitung bei der Konzeptionierung und Definition eines passgenauen Sicherheitskonzepts zur Risikominimierung und Erfüllung spezifischer Anforderungen
- Erstellung eines Maßnahmenplans zur Vorbereitung und Durchführung der TÜV-Zertifizierung basierend auf der GAP-Analyse
- Festlegung einer Zeitplanung zur Umsetzung der identifizierten Maßnahmen
- Bestimmung von Verantwortlichkeiten, Sicherheitsrollen und Überwachungsmaßnahmen: Dazu gehören z.B. die Unterstützung bei der Bestellung des Information Security Officer sowie die Festlegung seiner Befugnisse und Verantwortlichkeiten.
- Erstellung eines Schulungskonzepts
- Schulung der Mitarbeiter:innen zur internen Auditierung der für das ISMS notwendigen Prozesse sowie Vermittlung grundlegender Kenntnisse zum ISO/IEC-2700-Standard zur Risikobewertung und zum Risikomanagement
- Coaching der verantwortlichen Bereichsleiter:innen für Auditgespräche
- Erstellung geforderter Dokumente – z.B. Richtlinien, Anwendbarkeitserklärung und Risikobewertungen
- Zertifizierungsvorbereitung anhand von Dokumentprüfungen und Durchführungen von Test-Audits
- Entwicklung von Strategien zur weiteren Verbesserung des Sicherheitskonzepts und zur Weiterentwicklung der Kernziele der Informationssicherheit
Das Ergebnis: Zertifizierung schafft Vertrauen in die Qualität der IT-Systeme
- Erfolgreiche Vorbereitung und Durchführung der TÜV-Zertifizierung – Ausstellung des Zertifikats und Siegels
- Weiterentwicklung der Kernziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit
- Nachweis der Informationssicherheit schafft Vertrauen im Unternehmen und aufseiten von Kunden sowie Partnern
- Optimierung der Informationssicherheit und Anpassung an spezifische Anforderungen
Durch die Projektbegleitung der dhpg-Sicherheitsexperten konnten wir unser Informationssicherheitsmanagement wie geplant Ende 2020 durch den TÜV Rheinland zertifizieren lassen und die Informationssicherheit in unserem Unternehmen weiter maßgeblich verbessern.
- Stefan Doerr, IT-Solution Architect der GOPA Group Service GmbH
Unser Angebot: Sprechen Sie uns an
- Unsere Expert:innen begleiten Sie auf dem Weg zur Zertifizierung nach den international gültigen Anforderungen des ISO/IEC-27001-Standards und bei Bedarf nach vielen weiteren Standards.
- Im Bereich Wirtschaftsprüfung führen unsere Berater:innen diverse Prüfungsleistungen anhand unterschiedlicher Module durch.
- Unsere Datenschutzspezialist:innen führen für Sie eine aktuelle datenschutzrechtliche Bestandsaufnahme und einen Check des Handlungsbedarfs in diesem Gebiet durch. Zusammen setzen wir die Anforderungen aus der EU-Datenschutz-Grundverordnung um. So können Sie sicher sein, dass Sie datenschutzrechtlich auf dem aktuellen Stand sind.
- Bei Bedarf stellen wir Ihnen einen externen Datenschutzbeauftragten.
- Im Feld der Cyber Security testen bzw. prüfen unsere IT-Expert:innen Ihr System u.a. auf Schwachstellen und Sicherheitslücken. Als Ergebnis erhalten Sie einen umfassenden Bericht zur Stärkung Ihrer IT-Security und können so Angriffe auf Ihr IT-System abwehren bzw. frühzeitig erkennen.
- Unsere Expert:innen aus der Internen Revision begleiten Sie bei diversen IT-Prüfungsleistungen.
Die Case Study ist hier als Download verfügbar.