ISO 27001 Scoping Workshop bei einem österreichischen Energiekonzern
In einem ersten Vorgespräch wurden gemeinsam mit dem verantwortlichen Projektleiter des Kunden die notwendigen Teilnehmer für den Scoping Workshop ermittelt. Nach erfolgter Einladung und Zusage aller relevanten Key-Player fand der Workshop vor Ort statt. Anberaumt waren dafür ca. vier Stunden die auch für eine Scope Definition für die spätere Ausschreibung vollkommen ausreichend waren.
Zu klären galt es dabei folgende Fragen:
- Welche Konzerntöchter sollen nach ISO 270001 zertifiziert werden?
- Welche Bereiche außerhalb dieser Töchter sollen auch noch Teil der ISO 27001 Zertifizierung sein?
- Ist es sinnvoll den Scope weiter oder enger zu stecken?
- In welchen Bereichen ist es effizienter die klare Schittstellen zu definieren als den Scope noch weiter auszudehen?
Das Ergebnis des Scoping Workshops war dann ein klares und unternehmensintern abgestimmtes Bild vom geplanten Umfang der Zertifizierung. Für die Ausschreibung der eigentlichen Beratungsleistung zur Zertifizerung wurde dann aus den Ergebnisssen des Worshops noch die relevanten IT Services abgeleitet und als weitere Kenngröße in den Ausschreibungsunterlagen angegeben. Mit einer verbalen Beschreibung zum Status der für die ISO 27001 notwendigen Policies und Dokumente waren so alle ausschreibungsrelevanten Daten ermittelt.
„Ich war wirklich überrascht wie sehr uns der Scoping-Workshop geholfen hat einen besseren Griff rund um unsere ISO 27001 Zertifizierung zu bekommen. Der Workshop war der Schlüssel für die, für uns sehr erfolgreiche, Ausschreibung“
so der verantwortliche Projektleiter.
Wir begleiten auch Sie am Weg zu Ihrer ISO 27001 Zertifizierung
Einführung eines ISMS im Zuge der ISO 27001 Vorbereitung bei einem österreichischen Energiekonzerns
Gemeinsam mit dem Energiekonzern wurden verschiedenen Information Security Management Systeme evaluiert und schließlich das für die Zwecke des Kunden optimalste System ausgewählt. In einer ersten Phase wurden die Projektmitarbeiter des Kundes geschult und mit dem Funktionsumfangs des ISMS (hier wurde CRISAM der Firma calpana business consulting verwendet) vertraut gemacht. Nachdem die für die ISO/IEC notwendigen Policies (allen voran die ISMS Policy) bereits etabliert sowie Prozesse definiert und eingeführt waren, konnten wir uns vollständig auf das Thema ISMS konzentrieren.
Folgende Themen wurden hier von uns übernommen:
- Definition der Rahmenbedingungen (Schadensklassen, Risikoakzeptanzlevel, etc.)
- Durchführung der Business Impact Analysen
- Strukturanalyse und Risikoanalyse
- Analyse der Gaps hinsichtlich Relevanz und Kosten
- Ableitung und Festlegung notwendiger Maßnahmen
- Etablierung des ISMS in den Abläufen und der Struktur der Kundenorganisation
Nach erfolgreicher Einführung des ISMS und Abschluss aller anderen Themen für die ISO/IEC 27001 Zertifizierung steht der Kunde nun kurz vor der erstmaligen Zertifizierung.