Integration von: ISO 9001/27001/20000 bei Kapsch BusinessCom Synergien durch ähnliche Strukturen 30 Prozent weniger Aufwand für Kombi-Audits Integriertes Risk und Compliance Management Fotocredit: istockphoto nmcandre Integration der Managementsysteme wird bei Kapsch BusinessCom groß geschrieben. Kapsch BusinessCom gehört zu den führenden IKT-Service-Providern in Österreich mit einem Jahresumsatz von rund 300 Mio. Euro. Ein Großteil der Projekte ist von Hochsicherheitsanforderungen begleitet. Zu den Kunden von Kapsch gehören das Österreichische Bundesheer ebenso wie namhafte Finanzdienstleister. Banken und Kreditkartenunternehmen verlangen höchste Geheimhaltung und Datenintegrität. Daher setzt Kapsch BusinessCom bereits seit dem Jahr 2004 auf die ISO-27001-Zertifizierung für Informationssicherheit und seit 2011 auf die ISO-20000-Zertifizierung für IT Service Management. Integriert wurden beide Standards auf Basis der ISO 9001 in ein Gesamtmanagementsystem für das ganze Unternehmen. Unterirdisches Kapsch-Hochsicherheitsrechenzentrum in Kapfenberg 1
Während sich der Scope der ISO 9001 und ISO 27001 österreichweit auf alle acht Standorte mit insgesamt 1000 Mitarbeitern bezieht, umfasst die ISO 20000 nur den Bereich ICT Delivery. Integration bei Systemelementen: Dokumentenlenkung Bei der ISO-27001 -Einführung haben wir die Normforderungen direkt in bestehende Prozesse integriert. Harald Strobl, Leiter Managementsysteme, Kapsch BusinessCom AG Bei der ISO-27001-Einführung wurden die Normforderungen aus der Informationssicherheit direkt in bestehende Prozesse integriert und Systemelemente wie Verantwortlichkeit des Managements, KVP, Audits, Reviews oder Dokumentenlenkung um die zusätzlichen Aspekte ergänzt, berichtet Harald Strobl, bei Kapsch BusinessCom verantwortlich für die Leitung der Managementsysteme. Das Beispiel der Dokumentenlenkung veranschaulicht die Synergien: Während gemäß Qualitätsmanagement nur zwischen internen und externen Dokumenten unterschieden wird, kommt aufgrund der Informationssicherheit die Klassifizierung in öffentlich, intern, vertraulich, streng geheim hinzu. Und aus Sicht der ISO 20000 sind zusätzlich Vertragsvorgaben für Service Level Agreements zu erstellen. Synergien und Divergenzen Obwohl die Systemelemente in allen ISO-Managementsystemen gleichermaßen zur Anwendung kommen, sind inhaltliche Überschneidungen bei den Prozessen naturgemäß nicht durchgängig, erklärt Herbert Filacchione. Er fungiert für die Zertifizierungsorganisationen CIS und Quality Austria als Auditor für ISO 9001, ISO 27001 und ISO 20000 ein kombiniertes Audit für alle Standards ermöglicht bis zu 30 Prozent Zeit- und Aufwandsersparnis. Prozesse wie Human Ressources, Incident und Problem Management können übergreifend mit spezifischen Ausprägungen umgesetzt werden, während etwa technische Security-Prozesse nur ISO 27001 oder ISO 20000 betreffen, führt er die Unterschiede aus. Zu ISO 20000 ergänzt er: Wesentlich bei diesem Standard ist, dass Unternehmen Ihre Kosten pro Service exakt kalkulieren und somit hochwertige Dienste zu sehr wettbewerbsfähigen Preisen anbieten können. Zentrale Prozesse: Recruiting und Angebotslegung Ein kombiniertes Audit für alle drei Standards ermöglicht bis zu 30 Prozent Zeit- und Aufwandsersparnis. Herbert Fillacchione, CIS, Quality Austria Auditor Übergreifende Prozesse können effizient um die jeweils zusätzlichen Normforderungen erweitert werden: Während im Recruiting der Kapsch BusinessCom früher Abschlusszeugnisse bei Bewerbungsgesprächen vorzulegen waren, ist heute in sicherheitsrelevanten Bereichen eine umfassende Verlässlichkeitsprüfung erforderlich. Zudem müssen neue Mitarbeiter die Security- Richtlinien unterschreiben, womit sie für Verstöße haften. Auch der Angebotsprozess hat durch Einführung der ISO 27001 eine profitable Systematik erlangt. Während Angebote früher nach Mindestkriterien gelegt wurden, muss ein Offert heute eine Risikoanalyse durchlaufen, in der die Risiken dem Nutzen gegenübergestellt und die Projekte nach Größe und Anspruch klassifiziert werden. Harald Strobl resümiert: Durch die Informationssicherheit hat ein fundiertes Risikoverständnis Einzug in unterschiedlichste Bereiche des Unternehmens gehalten. 2
Riskmanagement: neue Gesamtsicht Fotocredit: istockphoto faberfoto_it Im Riskmanagement werden alle ISO-Standards sowie Planungs- und Strategieprozesse abgebildet. Fotocredit: Fotolia Olivier Le Moal Aus Unternehmenszielen lassen sich unterstützende QM-, IS- und ITSM-Ziele direkt ableiten. Das Riskmanagement der Kapsch BusinessCom ist generell ein Beispiel für eine gelungene Integration. Anforderungen aus allen drei Standards werden hier abgebildet, Kennzahlen ermittelt, möglichen Risiken gegenübergestellt und letztere monetär bewertet: Aus QM-Sicht ist dies etwa die Kundenzufriedenheit gegenüber Leistungsmängeln. Aus IS- und ITSM-Sicht ist dies die Nutzung der Services und mögliche Verletzungen in Richtung Rechtssicherheit oder Verfügbarkeit. Aus Sicht der Planungs- und Strategieprozesse werden mögliche Folgen wegbrechender Märkte berechnet. So erhalten wir eine umfassende Gesamtsicht in Richtung Enterprise Riskmanagement sowie aussagekräftige Kennzahlen für alle drei Standards, erklärt Strobl. Vorteil für die oberste Leitung Auch in sämtlichen Gremien werden die drei Managementthemen QM, IS und ITSM integriert behandelt, was den Vorteil hat, das hochrangige Führungskräfte in einem Meeting alle drei Bereiche bearbeiten und wertvolle Zeit sparen. In der Kapsch BusinessCom sowie in der gesamten Kapsch-Gruppe sind die Managementsysteme auf höchster Ebene angesiedelt, was der Qualität und Reife des Gesamtsystems zu Gute kommt, lobt Auditor Herbert Filacchione. So führt die Kapsch-Gruppe monatlich ein Abstimmungsmeeting mit dem Vorstand und verschiedenen Stabstellen durch. Innerhalb der Kapsch BusinessCom ist der Vorstand in die Management Reviews eingebunden und im Sinne der Gesamtsicht werden hier zusätzlich zu QM-, IS- und ITSM-Aspekten auch Fragen in Richtung Umwelt, Abfallwirtschaft und Brandschutz behandelt. Zu den Prozess-Verantwortlichen gehören neben dem Vorstand auch das Management aus dem Verkauf, aus dem Marketing sowie das Controlling oder die Rechtsabteilung. Dabei sind Kontrollfragen und Checklisten zu den einzelnen Standards vollständig in die Interviewleitfäden integriert, so dass die Verantwortlichen in internen Audits oder Befragungen im Rahmen der Business Impact Analyse kaum bewusst wahrnehmen, auf welche Norm sich eine gegenständliche Frage bezieht. Auf der Zielgeraden Bei der Definition von Zielen lassen sich aus Unternehmenszielen unterstützende QM-, IS- und ITSM-Ziele ableiten, berichtet Harald Strobl. Lautet beispielsweise eine Unternehmensvorgabe 20 Prozent Steigerung in einem Marktsegment, so wird als abgeleitetes QM-Ziel etwa eine Kundenzufriedenheit von über 95 Prozent definiert, als Security-Ziel die Reduktion der Eintrittswahrscheinlichkeit relevanter Sicherheitsvorfälle und als ITSM-Ziel eine Verfügbarkeit des IT-Systems von mehr als 99,9 Prozent. Auch für das Kunden-Feedback nach abgeschlossenen Projekten werden die Fragen dazu aus allen drei Normen generiert und die Ergebnisse fließen in die strategische Gesamtplanung ein, ergänzt der Managementsystem-Leiter. 3
Schulungen: Kapsch University und E-Learning Im Trainingsbereich profitiert das Gesamtsystem von der Logik aus dem Qualitätsmanagement, mit seinen Anforderungen Bedarfserhebung, Budgetierung, Durchführung, Erfolgsmessung wobei die gesamte Schulungsbedarfserhebung integrativ erfolgt: In Mitarbeitergesprächen wird der Schulungsbedarf aus allen Bereichen individuell ermittelt, in die Kapsch University -Plattform eingepflegt und dort budgetiert. Parallel dazu wurde ein E-Learning-Tool implementiert, womit nicht nur der Schulungsbedarf im Bereich Informationssicherheit flexibel abgedeckt wird ursprünglich wurde die Software dafür entwickelt. Zusätzlich kann das Tool leicht mit anderen Inhalten befüllt und für andere Trainings adaptiert werden von der ITIL-Schulung bis zum Brandschutzkurs. Auch Prüfungen im Sinne einer Erfolgsmessung können absolviert werden. Der Vorteil für die Anwender: Unsere Mitarbeiter kennen das Tool bereits nach der ersten Schulung und finden sich so dann bei weiteren Trainings gut zurecht, betont Strobl. Licht im Legal-Compliance-Dschungel Fotocredit: istockphoto Yuri Synergien: Viele der Auditoren von CIS und Quality Austria sind für die Prüfung mehrerer Standards ausgebildet. Ein weiteres wichtiges Element eines Integrierten Managementsystems ist die Legal Compliance: Die große Anzahl an Gesetzesänderungen aus den verschiedensten Bereichen bereitet vielen Unternehmen Probleme, berichtet Auditor Herbert Filacchione. Bei Kapsch BusinessCom wurde die Gesetzesflut und das Konglomerat an Richtlinien zunächst mit einer Sharepoint- Lösung verwaltet, was an Grenzen stieß denn bei verteilten Standorten kommen auch regionale Gesetze wie etwa eine geänderte Rauchfangkehrer-Verordnung in Dornbirn dazu. Mittlerweile nutzen wir eine optimale Strategie, berichtet Strobl: Wir verwenden eine Rechtsmitteldatenbank in Kombination mit einem automatischen Änderungsdienst und erhalten regelmäßig Meldungen über all jene Gesetzesänderungen, die auf unsere zuvor definierten Anforderungen zutreffen. Als abschließenden Praxistipp unterstreicht Harald Strobl: Sobald das Integrierte Managementsystem eine solide Reife erreicht hat, kann das System insgesamt schlanker werden. Daher lautet unser Motto heute: Weniger ist mehr. Nicht zu viel vorgeben, sondern auch das selbständige Mitdenken der Mitarbeiter fördern und nutzen. Kombinierte Zertifizierungs- und Überwachungsaudits: von CIS und Quality Austria Durch ihre strategische Kooperation können die Zertifizierungsorganisationen CIS und Quality Austria themenübergreifende Auditoren-Teams für kombinierte Zertifizierungs- und Überwachungsaudits zusammenstellen viele Auditoren sind für die Prüfung von zwei bis drei Standards ausgebildet. Schon bei der Audit-Planung wird Wert auf eine effiziente Durchführung vor Ort gelegt. So können Synergien gezielt genutzt werden, womit der Zeitaufwand bei Kombi-Audits im Vergleich zu mehreren Einzelaudits um bis zu 30 Prozent geringer ausfällt. 4
Von der Implementierung zum Zertifikat Die führenden Zertifizierungsorganisationen CIS und Quality Austria ergänzen sich thematisch: Während CIS auf IT-affine Standards wie ISO 27001 für Informationssicherheit, ISO 20000 für IT-Service-Management und ANSI/TIA 942 für Rechenzentrumsinfrastruktur spezialisiert ist, deckt Quality Austria industrie- und gewerbenahe Zertifizierungen ab. Die Grafik gibt einen Überblick über den Zertifizierungsprozess bei ISO 27001 und / oder ISO 20000: Fotocredit: istockphoto nico_blue Das Zertifikat macht Wettbewerbsvorsprung für Ihre Kunden sichtbar Informationsgespräch CIS-Erstgespräch: Details über Zertifizierungsprozess. Dann Registrierung, Projektplanung Analyse Interne Evaluierung des Verbesserungspotenzials, Bewertung vorhandener Maßnahmen.* Implementierung Maßnahmenumsetzung nach ISO 27001 und/oder ISO 20000 im Unternehmen* *Die CIS als unabhängige Prüfstelle ist nicht involviert CIS Stage Review (Vorbeurteilung) Optional: Projektbegleitende Prüfung der implementierten Elemente durch CIS-Auditoren CIS System & Risk Review (Vorbegutachtung) CIS prüft Interpretation der Normforderungen und Dokumentation, Generalprobe CIS Certification Audit Überprüfung des Systems durch multiple Stichproben. Auditbericht mit zukünftigem Verbesserungspotenzial. Das CIS-Zertifikat nach ISO 27001 / ISO 20000 gilt 3 Jahre CIS Surveillance Audit Das einmal pro Jahr durchgeführte Surveillance Audit überprüft die Effektivität des gesamten Managementsystems sowie seine ständige Verbesserung Fotocredit: Anna Rauchenberger CIS Recertification Audit Nach 3 Jahren haben Sie die Möglichkeit, das abgelaufene Zertifikat erfolgreich zu erneuern 5 CIS - Certification & Information Security Services GmbH, A - 1010 Wien, Salztorgasse 2/6/14, Tel: +43 (0)1 532 98 90, www.cis-cert.com, office@cis-cert.com