Integration von: ISO 9001/27001/20000 bei Kapsch BusinessCom



Ähnliche Dokumente
Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell

Bestnoten für Integration

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

GPP Projekte gemeinsam zum Erfolg führen

Passgenau schulen Bedarfsanalyse

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH


Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Qualitätsmanagement: Dokumentieren. Kontrollieren. Verfolgen.

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Übersicht Beratungsleistungen

TRAINING & LEARNING. So werden Sie von SELECTEAM unterstützt

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

Fit for Fair-Training. Unternehmensberatung. Mit Weitblick & System!

ecco Kundensupport zur Normenrevision ISO 9001:2015 und ISO 14001:

Dieter Brunner ISO in der betrieblichen Praxis

Qualitätsmanagement in kleinen und mittleren Unternehmen

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Menschen und Prozesse... mehr als die Summe der einzelnen Teile

Security-Check nach ISO und GTelV

Informationssicherheit als Outsourcing Kandidat

Ausschuss für technische und operative Unterstützung (zur Unterrichtung) ZUSAMMENFASSUNG

Qualitätsmanagement: Typischer Ablauf eines Zertifizierungsprojektes. bbu-unternehmensberatung, Hannover

Fortbildungsangebote Qualitätsmanagement 2014

Dok.-Nr.: Seite 1 von 6

TÜV SÜD- geprüfte Kundenzufriedenheit

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

Checkliste fu r Lieferanten

Erstellen einer in OWA (Outlook Web App)

ZDH-ZERT GmbH. Begutachtungspartner für Handwerk und Mittelstand. Matrixzertifizierung von Unternehmen mit mehreren Standorten/ Niederlassungen

BÜV-ZERT NORD-OST GMBH Zertifizierungsstelle für Managementsysteme der Baustoffindustrie

Die Unternehmensstrategie Die Ziele der nächsten Jahre

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

Checkliste zur qualitativen Nutzenbewertung

Vodafone Conferencing Meeting erstellen

Mitarbeiterbefragung als PE- und OE-Instrument

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Zertifizierungsvorgaben zur ISO/TS 16949:2002 Regeln für die Anerkennung durch die IATF - 3. Ausgabe Häufig gestellte Fragen (FAQs)

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013

Neu in Führung. Die k.brio Coaching-Begleitung für Führungskräfte und ihre Teams. k.brio coaching GbR. Grobkonzept. offen gesagt: gut beraten.

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

Leistungsstarke Enterprise Apps. Für Menschen erdacht. Für Veränderungen entwickelt.

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH EN 16001

Managementsysteme und Arbeitssicherheit

Urlaubsregel in David

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

Risiko- und Compliancemanagement mit

Information zur Revision der ISO Sehr geehrte Damen und Herren,

HUMAN ASSET REVIEW

Benchmark zur Kompetenzbestimmung in der österreichischen SW Industrie. Mag. Robert Kromer NCP / AWS Konferenz Wien,

IT-Revision als Chance für das IT- Management

Medienwechsel in StarMoney 8.0 und StarMoney Business 5.0

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Prozessoptimierung. und. Prozessmanagement

Fallbeispiel. Auswahl und Evaluierung eines Software- Lokalisierungstools. Tekom Herbsttagung 2004 Angelika Zerfaß

Qualität hat ihren Preis Qualität, Qualitätsmanagement und Qualitätspreis

Qualitätssicherung nach der ISO-Norm - eine Alternative? Matthias Simmer, Saarbrücken

GFO Beratung: Organisationshandbuch

GRS SIGNUM Product-Lifecycle-Management

DER SELBST-CHECK FÜR IHR PROJEKT

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Studie zum Einsatz und Nutzen von strategischem IT-Benchmarking. Katharina Ebner Prof. Dr. Stefan Smolnik

Energieaudits. VerbesserungÊ derê EnergieeffizienzÊ

Führung im Callcenter. und warum in Callcentern manch moderner Führungsansatz scheitert

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Organisationen neu sehen

SharePoint Portal für eine effiziente Zusammenarbeit

Die 7 Vorteile von Business Excellence nach EFQM

Energieaudit und Energiemanagement für Nicht-KMU

Qualitätsbeauftragter / interner Auditor und Qualitätsmanager. DGQ Prüfung zum Qualitätsmanager. Wege zum umfassenden Qualitätsmanagement

Mitarbeiterbefragung. 5 zentrale Gründe für Trigon

B&B Verlag für Sozialwirtschaft GmbH. Inhaltsübersicht

Alchimedus Software Geprüfte Beratungsqualität! Info und Demo

OPERATIONAL SERVICES YOUR IT PARTNER

1.3 MDM-Systeme KAPITEL 1 ZAHLEN UND FAKTEN

Ablauf einer Managementzertifizierung

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

sicher ist sicher Unser Konzept für Beratung, Betreuung, Service & Sicherheit für unsere Firmenkunden

Personal- und Kundendaten Datenschutz in Werbeagenturen

firstbird wird gefördert von Microsoft Ventures firstbird is part of Microsoft Ventures Accelerator Berlin

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Industrie 4.0 in Deutschland

ippl uality anagement begrüßt Sie herzlich zum heutigen Informationsabend Qualitätsmanagement ISO

Selbstständige Tätigkeit als Projektleiter bei der messe.ag

WSO de. <work-system-organisation im Internet> Allgemeine Information

Beantragung einer Freigabeerklärung für Lösungen zur Spielerstatusabfrage unter Verwendung von OASIS WS

Internes Audit. Medizinische Universität Wien

ISAP Kundencenter. Alles. Einfach. Online. Das Handbuch zum neuen ISAP Kundencenter ISAP AG. All rights reserved.

MOBILE DEVICE MANAGEMENT BERATUNG Mehr Sicherheit für Ihre Entscheidung

Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.

Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?

Transkript:

Integration von: ISO 9001/27001/20000 bei Kapsch BusinessCom Synergien durch ähnliche Strukturen 30 Prozent weniger Aufwand für Kombi-Audits Integriertes Risk und Compliance Management Fotocredit: istockphoto nmcandre Integration der Managementsysteme wird bei Kapsch BusinessCom groß geschrieben. Kapsch BusinessCom gehört zu den führenden IKT-Service-Providern in Österreich mit einem Jahresumsatz von rund 300 Mio. Euro. Ein Großteil der Projekte ist von Hochsicherheitsanforderungen begleitet. Zu den Kunden von Kapsch gehören das Österreichische Bundesheer ebenso wie namhafte Finanzdienstleister. Banken und Kreditkartenunternehmen verlangen höchste Geheimhaltung und Datenintegrität. Daher setzt Kapsch BusinessCom bereits seit dem Jahr 2004 auf die ISO-27001-Zertifizierung für Informationssicherheit und seit 2011 auf die ISO-20000-Zertifizierung für IT Service Management. Integriert wurden beide Standards auf Basis der ISO 9001 in ein Gesamtmanagementsystem für das ganze Unternehmen. Unterirdisches Kapsch-Hochsicherheitsrechenzentrum in Kapfenberg 1

Während sich der Scope der ISO 9001 und ISO 27001 österreichweit auf alle acht Standorte mit insgesamt 1000 Mitarbeitern bezieht, umfasst die ISO 20000 nur den Bereich ICT Delivery. Integration bei Systemelementen: Dokumentenlenkung Bei der ISO-27001 -Einführung haben wir die Normforderungen direkt in bestehende Prozesse integriert. Harald Strobl, Leiter Managementsysteme, Kapsch BusinessCom AG Bei der ISO-27001-Einführung wurden die Normforderungen aus der Informationssicherheit direkt in bestehende Prozesse integriert und Systemelemente wie Verantwortlichkeit des Managements, KVP, Audits, Reviews oder Dokumentenlenkung um die zusätzlichen Aspekte ergänzt, berichtet Harald Strobl, bei Kapsch BusinessCom verantwortlich für die Leitung der Managementsysteme. Das Beispiel der Dokumentenlenkung veranschaulicht die Synergien: Während gemäß Qualitätsmanagement nur zwischen internen und externen Dokumenten unterschieden wird, kommt aufgrund der Informationssicherheit die Klassifizierung in öffentlich, intern, vertraulich, streng geheim hinzu. Und aus Sicht der ISO 20000 sind zusätzlich Vertragsvorgaben für Service Level Agreements zu erstellen. Synergien und Divergenzen Obwohl die Systemelemente in allen ISO-Managementsystemen gleichermaßen zur Anwendung kommen, sind inhaltliche Überschneidungen bei den Prozessen naturgemäß nicht durchgängig, erklärt Herbert Filacchione. Er fungiert für die Zertifizierungsorganisationen CIS und Quality Austria als Auditor für ISO 9001, ISO 27001 und ISO 20000 ein kombiniertes Audit für alle Standards ermöglicht bis zu 30 Prozent Zeit- und Aufwandsersparnis. Prozesse wie Human Ressources, Incident und Problem Management können übergreifend mit spezifischen Ausprägungen umgesetzt werden, während etwa technische Security-Prozesse nur ISO 27001 oder ISO 20000 betreffen, führt er die Unterschiede aus. Zu ISO 20000 ergänzt er: Wesentlich bei diesem Standard ist, dass Unternehmen Ihre Kosten pro Service exakt kalkulieren und somit hochwertige Dienste zu sehr wettbewerbsfähigen Preisen anbieten können. Zentrale Prozesse: Recruiting und Angebotslegung Ein kombiniertes Audit für alle drei Standards ermöglicht bis zu 30 Prozent Zeit- und Aufwandsersparnis. Herbert Fillacchione, CIS, Quality Austria Auditor Übergreifende Prozesse können effizient um die jeweils zusätzlichen Normforderungen erweitert werden: Während im Recruiting der Kapsch BusinessCom früher Abschlusszeugnisse bei Bewerbungsgesprächen vorzulegen waren, ist heute in sicherheitsrelevanten Bereichen eine umfassende Verlässlichkeitsprüfung erforderlich. Zudem müssen neue Mitarbeiter die Security- Richtlinien unterschreiben, womit sie für Verstöße haften. Auch der Angebotsprozess hat durch Einführung der ISO 27001 eine profitable Systematik erlangt. Während Angebote früher nach Mindestkriterien gelegt wurden, muss ein Offert heute eine Risikoanalyse durchlaufen, in der die Risiken dem Nutzen gegenübergestellt und die Projekte nach Größe und Anspruch klassifiziert werden. Harald Strobl resümiert: Durch die Informationssicherheit hat ein fundiertes Risikoverständnis Einzug in unterschiedlichste Bereiche des Unternehmens gehalten. 2

Riskmanagement: neue Gesamtsicht Fotocredit: istockphoto faberfoto_it Im Riskmanagement werden alle ISO-Standards sowie Planungs- und Strategieprozesse abgebildet. Fotocredit: Fotolia Olivier Le Moal Aus Unternehmenszielen lassen sich unterstützende QM-, IS- und ITSM-Ziele direkt ableiten. Das Riskmanagement der Kapsch BusinessCom ist generell ein Beispiel für eine gelungene Integration. Anforderungen aus allen drei Standards werden hier abgebildet, Kennzahlen ermittelt, möglichen Risiken gegenübergestellt und letztere monetär bewertet: Aus QM-Sicht ist dies etwa die Kundenzufriedenheit gegenüber Leistungsmängeln. Aus IS- und ITSM-Sicht ist dies die Nutzung der Services und mögliche Verletzungen in Richtung Rechtssicherheit oder Verfügbarkeit. Aus Sicht der Planungs- und Strategieprozesse werden mögliche Folgen wegbrechender Märkte berechnet. So erhalten wir eine umfassende Gesamtsicht in Richtung Enterprise Riskmanagement sowie aussagekräftige Kennzahlen für alle drei Standards, erklärt Strobl. Vorteil für die oberste Leitung Auch in sämtlichen Gremien werden die drei Managementthemen QM, IS und ITSM integriert behandelt, was den Vorteil hat, das hochrangige Führungskräfte in einem Meeting alle drei Bereiche bearbeiten und wertvolle Zeit sparen. In der Kapsch BusinessCom sowie in der gesamten Kapsch-Gruppe sind die Managementsysteme auf höchster Ebene angesiedelt, was der Qualität und Reife des Gesamtsystems zu Gute kommt, lobt Auditor Herbert Filacchione. So führt die Kapsch-Gruppe monatlich ein Abstimmungsmeeting mit dem Vorstand und verschiedenen Stabstellen durch. Innerhalb der Kapsch BusinessCom ist der Vorstand in die Management Reviews eingebunden und im Sinne der Gesamtsicht werden hier zusätzlich zu QM-, IS- und ITSM-Aspekten auch Fragen in Richtung Umwelt, Abfallwirtschaft und Brandschutz behandelt. Zu den Prozess-Verantwortlichen gehören neben dem Vorstand auch das Management aus dem Verkauf, aus dem Marketing sowie das Controlling oder die Rechtsabteilung. Dabei sind Kontrollfragen und Checklisten zu den einzelnen Standards vollständig in die Interviewleitfäden integriert, so dass die Verantwortlichen in internen Audits oder Befragungen im Rahmen der Business Impact Analyse kaum bewusst wahrnehmen, auf welche Norm sich eine gegenständliche Frage bezieht. Auf der Zielgeraden Bei der Definition von Zielen lassen sich aus Unternehmenszielen unterstützende QM-, IS- und ITSM-Ziele ableiten, berichtet Harald Strobl. Lautet beispielsweise eine Unternehmensvorgabe 20 Prozent Steigerung in einem Marktsegment, so wird als abgeleitetes QM-Ziel etwa eine Kundenzufriedenheit von über 95 Prozent definiert, als Security-Ziel die Reduktion der Eintrittswahrscheinlichkeit relevanter Sicherheitsvorfälle und als ITSM-Ziel eine Verfügbarkeit des IT-Systems von mehr als 99,9 Prozent. Auch für das Kunden-Feedback nach abgeschlossenen Projekten werden die Fragen dazu aus allen drei Normen generiert und die Ergebnisse fließen in die strategische Gesamtplanung ein, ergänzt der Managementsystem-Leiter. 3

Schulungen: Kapsch University und E-Learning Im Trainingsbereich profitiert das Gesamtsystem von der Logik aus dem Qualitätsmanagement, mit seinen Anforderungen Bedarfserhebung, Budgetierung, Durchführung, Erfolgsmessung wobei die gesamte Schulungsbedarfserhebung integrativ erfolgt: In Mitarbeitergesprächen wird der Schulungsbedarf aus allen Bereichen individuell ermittelt, in die Kapsch University -Plattform eingepflegt und dort budgetiert. Parallel dazu wurde ein E-Learning-Tool implementiert, womit nicht nur der Schulungsbedarf im Bereich Informationssicherheit flexibel abgedeckt wird ursprünglich wurde die Software dafür entwickelt. Zusätzlich kann das Tool leicht mit anderen Inhalten befüllt und für andere Trainings adaptiert werden von der ITIL-Schulung bis zum Brandschutzkurs. Auch Prüfungen im Sinne einer Erfolgsmessung können absolviert werden. Der Vorteil für die Anwender: Unsere Mitarbeiter kennen das Tool bereits nach der ersten Schulung und finden sich so dann bei weiteren Trainings gut zurecht, betont Strobl. Licht im Legal-Compliance-Dschungel Fotocredit: istockphoto Yuri Synergien: Viele der Auditoren von CIS und Quality Austria sind für die Prüfung mehrerer Standards ausgebildet. Ein weiteres wichtiges Element eines Integrierten Managementsystems ist die Legal Compliance: Die große Anzahl an Gesetzesänderungen aus den verschiedensten Bereichen bereitet vielen Unternehmen Probleme, berichtet Auditor Herbert Filacchione. Bei Kapsch BusinessCom wurde die Gesetzesflut und das Konglomerat an Richtlinien zunächst mit einer Sharepoint- Lösung verwaltet, was an Grenzen stieß denn bei verteilten Standorten kommen auch regionale Gesetze wie etwa eine geänderte Rauchfangkehrer-Verordnung in Dornbirn dazu. Mittlerweile nutzen wir eine optimale Strategie, berichtet Strobl: Wir verwenden eine Rechtsmitteldatenbank in Kombination mit einem automatischen Änderungsdienst und erhalten regelmäßig Meldungen über all jene Gesetzesänderungen, die auf unsere zuvor definierten Anforderungen zutreffen. Als abschließenden Praxistipp unterstreicht Harald Strobl: Sobald das Integrierte Managementsystem eine solide Reife erreicht hat, kann das System insgesamt schlanker werden. Daher lautet unser Motto heute: Weniger ist mehr. Nicht zu viel vorgeben, sondern auch das selbständige Mitdenken der Mitarbeiter fördern und nutzen. Kombinierte Zertifizierungs- und Überwachungsaudits: von CIS und Quality Austria Durch ihre strategische Kooperation können die Zertifizierungsorganisationen CIS und Quality Austria themenübergreifende Auditoren-Teams für kombinierte Zertifizierungs- und Überwachungsaudits zusammenstellen viele Auditoren sind für die Prüfung von zwei bis drei Standards ausgebildet. Schon bei der Audit-Planung wird Wert auf eine effiziente Durchführung vor Ort gelegt. So können Synergien gezielt genutzt werden, womit der Zeitaufwand bei Kombi-Audits im Vergleich zu mehreren Einzelaudits um bis zu 30 Prozent geringer ausfällt. 4

Von der Implementierung zum Zertifikat Die führenden Zertifizierungsorganisationen CIS und Quality Austria ergänzen sich thematisch: Während CIS auf IT-affine Standards wie ISO 27001 für Informationssicherheit, ISO 20000 für IT-Service-Management und ANSI/TIA 942 für Rechenzentrumsinfrastruktur spezialisiert ist, deckt Quality Austria industrie- und gewerbenahe Zertifizierungen ab. Die Grafik gibt einen Überblick über den Zertifizierungsprozess bei ISO 27001 und / oder ISO 20000: Fotocredit: istockphoto nico_blue Das Zertifikat macht Wettbewerbsvorsprung für Ihre Kunden sichtbar Informationsgespräch CIS-Erstgespräch: Details über Zertifizierungsprozess. Dann Registrierung, Projektplanung Analyse Interne Evaluierung des Verbesserungspotenzials, Bewertung vorhandener Maßnahmen.* Implementierung Maßnahmenumsetzung nach ISO 27001 und/oder ISO 20000 im Unternehmen* *Die CIS als unabhängige Prüfstelle ist nicht involviert CIS Stage Review (Vorbeurteilung) Optional: Projektbegleitende Prüfung der implementierten Elemente durch CIS-Auditoren CIS System & Risk Review (Vorbegutachtung) CIS prüft Interpretation der Normforderungen und Dokumentation, Generalprobe CIS Certification Audit Überprüfung des Systems durch multiple Stichproben. Auditbericht mit zukünftigem Verbesserungspotenzial. Das CIS-Zertifikat nach ISO 27001 / ISO 20000 gilt 3 Jahre CIS Surveillance Audit Das einmal pro Jahr durchgeführte Surveillance Audit überprüft die Effektivität des gesamten Managementsystems sowie seine ständige Verbesserung Fotocredit: Anna Rauchenberger CIS Recertification Audit Nach 3 Jahren haben Sie die Möglichkeit, das abgelaufene Zertifikat erfolgreich zu erneuern 5 CIS - Certification & Information Security Services GmbH, A - 1010 Wien, Salztorgasse 2/6/14, Tel: +43 (0)1 532 98 90, www.cis-cert.com, office@cis-cert.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback