Eine Frage des Vertrauens?
TISAX – win win – Vom Eigenprojekt zum Vorteil für den Kunden
Verantwortung gegenüber dem Kunden
Kennen wir uns?
Wie gut müssen wir uns kennen, um private, vertrauliche oder gar geheime Daten auszutauschen? Können Sie mir wirklich vertrauen?
Gerade bei neuen geschäftlichen Kontakten ist oft die erste Aktion der Austausch einer Geheimhaltungsvereinbarung. Aber bringt diese wirkliche Sicherheit?
Wichtiger als die Frage nach der Geheimhaltungsvereinbarung scheint uns die Frage nach den technischen und organisatorischen Maßnahmen.
Auch wir wurden im Mai 2018 von der DSGVO überrollt. Zentraler Punkt war die Verwaltung der personenbezogenen Daten. Durch den Einsatz unseres hauseigenen vierS auf Basis der 3DEXPERIENCE Lösung von Dassault Systèmes hatten wir bereits eine bestehende "Single Source of Truth". Diese konnten wir um das Kundenportal erweitern, so dass ab diesem Zeitpunkt alle bei uns erfassten Personen Ihre Kontaktdaten selbst einsehen und pflegen konnten.
Die nächste Frage, die sich uns stellte, war: "Wie können wir organisatorisch sicherstellen, dass alle vertraulichen Informationen auch vertraulich bleiben und wie können wir dies unseren (Neu)Kunden kommunizieren?" Als geeignete Maßnahme fanden wir die Zertifizierung nach ISO/IEC 27001 bzw. TISAX, welche mittlerweile auch immer öfter von Kunden gefordert wird.
Eigenbedarf / Reflexion / Digitalisierung
Mit der Digitalisierung unseres Unternehmens in den letzten Jahren wurden Prozesse radikal umgestellt. Es war also Zeit, sich die Datenströme mal wieder kritisch „auf‘s Tablett zu holen“. Insbesondere die Analyse der Risiken und möglichen Folgen bei verschiedensten Störungen schien spannend und so war es an der Zeit, alle denkbaren Szenarien zu beschreiben. Weiterhin schaffte die sogenannte Scope/Gap Analyse ein Bild der aktuellen Situation.
TISAX Consulting als PRODUKT / Dienstleitungsangebot für unsere Kunden
In unserem langjährigen Partner, der ei-tea GmbH, fanden wir einen Kenner des Marktes mit best-practice-Erfahrung beim Aufbau eines Informations-Sicherheits-Management-Systemes (ISMS). Hier fanden wir Erfahrungen aus verschiedenen Projekten und aus erster Hand. Weiterhin verfügten die Mitarbeiter über die Kompetenzen als zertifizierte ISO 27001 Officer. Und wie es manchmal nach langer Freundschaft ist – es folgt die Ehe – in unserem Fall die Verschmelzung zwischen SCHWINDT und ei-tea und das Projekt zur Einführung eines ISMS war sozusagen die Mitgift.
Wie sind wir nun vorgegangen?
Die Management Awareness war von Anfang an vorhanden, gab es doch bei allen Verantwortlichen die Einsicht, dass die Transparenz der Prozesse zu Vertrauen führt. Was nicht so ganz klar erschien, war die Frage nach den daraus entstehenden Kosten. Die geforderten Maßnahmen sollten jedoch nachvollziehbar für eine Minimierung der Risiken sorgen und somit wurde schnell klar, dass die hier getätigten Investitionen gut angelegt sein würden.
Alle für die Durchführung dieses Projektes erforderlichen Ressourcen konnten freigegeben werden. Nun folgte die Festlegung des Scopes und des Schutzbedarfes auf "vertraulich". Die Einführung konnte Mitte 2018 mit der Abarbeitung der Gaps und der Dokumentation aller Prozesse starten. Mit der Benennung eines internen Sicherheitsbeauftragten (ISB) wurden die to-do’s kontinuierlich überwacht.
Leider sind Projekte nicht immer gegen einen personellen Wechsel innerhalb des Projektteams gefeit und so wurde während des Projektes der Austausch unseres ISB notwendig. Die Einarbeitung des neuen ISB erfolgte in erster Linie über die bestehende Dokumentation des ISMS, deren Ein- und Überarbeitung auf Grund der zentralen Ablagestruktur und Indizierung innerhalb unserer "single source of truth" vollkommen im zeitlich gesteckten Rahmen verlief.
Parallel wurde der Prüfdienstleister beauftragt und der Audit-Termin vereinbart.
Zur Vermeidung einer "Übererfüllung" wurden Nebenabweichungen, die im Audit hätten festgestellt werden können, in Kauf genommen. Diese konnten dann aber nach dem erfolgten Audit ebenfalls schnell, pragmatisch und unkompliziert bearbeitet und dem Auditor als "erledigt" nachgereicht werden.
TISAX und 3DEXPERIENCE
TISAX / Informationssicherheit ist keine Einmalaktion, sondern ein andauerndes Projekt, ein ständiger, immerwährender Prozess und fester Bestandteil der Unternehmenskultur. Im Bereich der OEM Zulieferkette ist TISAX die Eintrittskarte in zukünftiges vertrauensbasiertes Geschäft.
3DEXPERIENCE stellte sich als wertvolles zentrales Managementsystem heraus. Notwendige dokumentierte Prozesse ließen sich sehr gut und quasi intuitiv digital im hauseigenen System vierS abbilden. Wege wurden verkürzt. Prozesse, Risiken und Entscheidungen werden transparenter.
So gab es auch die Erkenntnis, dass sich noch viele weitere Prozesse im vierS abbilden lassen, wie zum Beispiel Mitarbeiterveränderungen (Eintritt, Austritt, Berechtigungen), Besuchermanagement, IT Dokumentationen oder Lieferantenmanagement.
Reaktionen / Fazit
"walk the talk" – oder "mache selber worüber Du sprichst" – ist seit Jahren ein bewährtes Prinzip im Hause SCHWINDT.
Die Reaktion der Kunden auf unsere eigene Zertifizierung ist durchweg positiv. Die von unseren Kunden teilweise schon avisierten Vorort-Audits bei uns als deren Lieferant wurden überflüssig, da wir das TISAX-Zertifikat vorweisen konnten. ENX stellt mit TISAX die Plattform für gegenseitiges Vertrauen zur Verfügung.
Und was bedeutet dies für unser Consulting-Team? Ein weiteres Projekt erfolgreich abgeschlossen und Erfahrungen dem "best-practice"-Ansatz hinzugefügt. Dies bedeutet nicht nur Vertrauen in unser ISMS, sondern auch in das Consulting-Team für Kundenprojekte.
Möchten Sie mehr erfahren? So sprechen Sie uns an unter info@schwindt.eu oder per Freecall: 0800-3DEXPERience (3339737).
Danke für Ihr Vertrauen!