Österreich

Fallbeispiel: Integriertes Managementsystem


Integration von ISO 9001/ 27001/ 20000
bei Kapsch BusinessCom


• Synergien durch ähnliche Strukturen
• 30 Prozent weniger Aufwand für Kombi-Audits
• Integriertes Risiko- und Compliance Management                           >> Download PDF-Folder

 


Kapsch BusinessCom gehört zu den führenden IKT-Service-Providern in Österreich mit einem Jahresumsatz von rund 300 Mio. Euro. Ein Großteil der Projekte ist von Hochsicherheitsanforderungen begleitet. Zu den Kunden von Kapsch gehören das Österreichische Bundesheer ebenso wie namhafte Finanzdienstleister. Banken und Kreditkartenunternehmen verlangen höchste Geheimhaltung und Datenintegrität. Daher setzt Kapsch BusinessCom bereits seit dem Jahr 2004 auf die ISO-27001-Zertifizierung für Informationssicherheit und seit 2011 auf die ISO-20000-02_kapsch hochsicherheitszentrumZertifizierung für IT Service Management. Integriert wurden beide Standards auf Basis der ISO 9001 in ein Gesamtmanagementsystem für das ganze Unternehmen. Während sich der Scope der ISO 9001 und ISO 27001 österreichweit auf alle acht Standorte mit insgesamt 1000 Mitarbeitern bezieht, umfasst die ISO 20000 nur den Bereich ICT Delivery.

 

Integrierte Dokumentenlenkung

„Bei der ISO-27001-Einführung wurden die Normforderungen aus der Informationssicherheit direkt in bestehende Prozesse integriert und Systemelemente wie Verantwortlichkeit des Managements, KVP, Audits, Reviews oder Dokumentenlenkung um die zusätzlichen Aspekte ergänzt“, berichtet Harald Strobl, bei Kapsch BusinessCom verantwortlich für die Leitung der Managementsysteme. Das Beispiel der Dokumentenlenkung veranschaulicht die Synergien: Während gemäß Qualitätsmanagement nur zwischen internen und externen Dokumenten unterschieden wird, kommt aufgrund der Informationssicherheit die Klassifizierung in „öffentlich, intern, vertraulich, streng geheim“ hinzu. Und aus Sicht der ISO 20000 sind Vertragsvorgaben für Service Level Agreements zu erstellen.

 

Synergien und Divergenzen

„Obwohl die Systemelemente in allen ISO-Managementsystemen gleichermaßen zur Anwendung kommen, sind inhaltliche Überschneidungen bei den Prozessen naturgemäß nicht durchgängig“, erklärt Herbert Filacchione. Er fungiert für die Zertifizierungsorganisationen CIS und Quality Austria als Auditor für ISO 9001, ISO 27001 und ISO 20000 – ein kombiniertes Audit für alle Standards ermöglicht bis zu 30 Prozent Zeit- und Aufwandsersparnis. „Prozesse wie Human Ressources, Incident und Problem Management können übergreifend mit spezifischen Ausprägungen umgesetzt werden, während etwa die technischen Security-Prozesse nur ISO 27001 oder ISO 20000 betreffen“, führt er die Unterschiede aus. Zu ISO 20000 ergänzt er: „Wesentlich bei diesem Standard ist, dass Unternehmen Ihre Kosten pro Service exakt kalkulieren können. Damit sind sie in der Lage, hochwertige Dienste zu sehr wettbewerbsfähigen Preisen anzubieten“.

 

Zentrale Prozesse: Recruiting und Angebotslegung

Übergreifende Prozesse können effizient um die jeweils zusätzlichen Normforderungen erweitert werden: Während im Recruiting der Kapsch BusinessCom früher Abschlusszeugnisse bei Bewerbungsgesprächen vorzulegen waren, ist heute für zukünftige Mitarbeiter in sicherheitsrelevanten Bereichen eine umfassende Verlässlichkeitsprüfung erforderlich. „Zudem müssen neue Mitarbeiter die Security-Richtlinien unterschreiben, womit sie für Verstöße haften“, ergänzt Strobl. Auch der Angebotsprozess hat durch Einführung der ISO 27001 eine profitable Systematik erlangt. Während Angebote früher nach einigen Mindestkriterien gelegt wurden, muss ein Offert heute eine Risikoanalyse durchlaufen, in der die Risiken dem Nutzen gegenübergestellt werden und die Projekte nach Größe und Anspruch klassifiziert werden. Harald Strobl resümiert: „Durch die Informationssicherheit hat ein fundiertes Risikoverständnis Einzug in unterschiedlichste Bereiche des Unternehmens gehalten.“

 

Riskmanagement: neue Gesamtsicht 

Das Riskmanagement der Kapsch BusinessCom ist generell ein Beispiel für eine gelungene Integration. Anforderungen aus allen drei Standards werde02_RM-chainsn hier abgebildet, Kennzahlen ermittelt, möglichen Risiken gegenübergestellt und letztere monetär bewertet: „Aus QM-Sicht ist dies etwa die Kundenzufriedenheit gegenüber Leistungsmängeln. Aus IS- und ITSM-Sicht ist dies die Nutzung der Services und mögliche Verletzungen in Richtung Rechtssicherheit oder Verfügbarkeit. Aus Sicht der Planungs- und Strategieprozesse werden mögliche Folgen wegbrechender Märkte berechnet. So erhalten wir eine umfassende Gesamtsicht in Richtung Enterprise Riskmanagement sowie aussagekräftige Kennzahlen für alle drei Standards“, so Strobl.

 

Vorteil für die oberste Leitung

Auch in sämtlichen Gremien werden die drei Managementthemen OM, IS und ITSM integriert behandelt, was den Vorteil hat, das hochrangige Führungskräfte in einem Meeting alle drei Bereiche bearbeiten und wertvolle Zeit sparen. „In der Kapsch BusinessCom sowie in der gesamten Kapsch-Gruppe sind die Managementsysteme auf höchster Ebene angesiedelt, was der Qualität und Reife des Gesamtsystems zu Gute kommt“, lobt Auditor Herbert Filacchione. So hält die Kapsch-Gruppe monatlich ein Abstimmungsmeeting mit dem Vorstand und verschiedenen Stabstellen. Innerhalb der Kapsch BusinessCom ist der Vorstand in die Management Reviews eingebunden und im Sinne der Gesamtsicht werden hier zusätzlich zu QM-, IS- und ITSM-Aspekten auch Fragen in Richtung Umwelt, Abfallwirtschaft und Brandschutz behandelt. Zu den Prozess-Verantwortlichen gehören neben dem Vorstand auch das Management aus dem Verkauf, aus dem Marketing sowie das Controlling oder die Rechtsabteilung. Dabei sind Kontrollfragen und Checklisten zu den einzelnen Standards vollständig in die Interviewleitfäden integriert, so dass die Verantwortlichen in internen Audits oder Befragungen im Rahmen der Business Impact Analyse kaum bewusst wahrnehmen, auf welche Norm sich eine gegenständliche Frage bezieht.

 

Ziele ableiten

„Bei der Definition von Zielen lassen sich aus Unternehmenszielen 02_Zielscheibeunterstützende QM-, IS- und ITSM-Ziele ableiten“, berichtet Harald Strobl. Lautet beispielsweise eine Unternehmensvorgabe „20 Prozent Steigerung in einem Marktsegment“, so wird als abgeleitetes QM-Ziel etwa eine Kundenzufriedenheit von über 95 Prozent definiert, als Security-Ziel die Reduktion der Eintrittswahrscheinlichkeit relevanter Sicherheitsvorfälle und als ITSM-Ziel eine Verfügbarkeit des IT-Systems von mehr als 99,9 Prozent. „Auch für das Kunden-Feedback nach abgeschlossenen Projekten werden die Fragen dazu aus allen drei Normen generiert und die Ergebnisse fließen in die strategische Gesamtplanung ein“, ergänzt der Managementsystem-Leiter.

 

Schulungen: Kapsch University und E-Learning

Im Trainingsbereich profitiert das Gesamtsystem von der Logik aus dem Qualitätsmanagement, mit seinen Anforderungen „Bedarfserhebung, Budgetierung, Durchführung, Erfolgsmessung“ – wobei die gesamte Schulungsbedarfserhebung integrativ erfolgt: In Mitarbeitergesprächen wird der Schulungsbedarf aus allen Bereichen individuell ermittelt, in die „Kapsch University“-Plattform eingepflegt und dort budgetiert. Parallel dazu wurde ein E-Learning-Tool implementiert, womit nicht nur der Schulungsbedarf im Bereich Informationssicherheit flexibel abgedeckt wird – ursprünglich wurde die Software dafür entwickelt. Zusätzlich kann das Tool leicht mit anderen Inhalten befüllt und für andere Trainings adaptiert werden – von der ITIL-Schulung bis zum Brandschutzkurs. Auch Prüfungen im Sinne einer Erfolgsmessung können damit absolviert werden. Der Vorteil für die Anwender: „Unsere Mitarbeiter kennen das Tool bereits nach der ersten Schulung und finden sich so dann bei weiteren Trainings gut zurecht“, betont Harald Strobl.

 

Licht im Legal-Compliance-Dschungel

Ein weiteres wichtiges Element eines Integrierten Managementsystems ist die Legal Compliance:
„Die große Anzahl an Gesetzesänderungen aus den verschiedensten Bereichen bereitet vielen Unternehmen Probleme“, berichtet Auditor Herbert Filacchione. Bei Kapsch BusinessCom wurde die Gesetzesflut und das Konglomerat an Richtlinien zunächst mit einer Sharepoint-Lösung verwaltet, was an Grenzen stieß – denn bei verteilten Standorten kommen auch regionale Gesetze wie etwa eine geänderte Rauchfangkehrer-Verordnung in Dornbirn dazu. „Mittlerweile nutzen wir eine optimale Strategie“, berichtet Strobl: „Wir verwenden eine Rechtsmitteldatenbank in Kombination mit einem automatischen Änderungsdienst und erhalten regelmäßig Meldungen über all jene Gesetzesänderungen, die auf unsere zuvor definierten Anforderungen zutreffen.“ Als abschließenden Praxistipp unterstreicht Harald Strobl: „Sobald das Integrierte Managementsystem eine solide Reife erreicht hat, kann das System insgesamt schlanker werden. Daher lautet unser Motto heute: Weniger ist mehr. Nicht zu viel vorgeben, sondern auch das selbständige Mitdenken der Mitarbeiter fördern und nutzen.“


ZUSATZINFORMATION:

Kombinierte Zertifizierungs- und Überwachungsaudits von CIS und Quality Austria

Durch ihre strategische Kooperation können die Zertifizierungsorganisationen CIS und Quality Austria themenübergreifende Auditoren-Teams für kombinierte Zertifizierungs- und Überwachungsaudits zusammenstellen – viele Auditoren sind für die Prüfung von zwei bis drei Standards ausgebildet. Schon bei der Audit-Planung wird Wert auf eine effiziente Durchführung vor Ort gelegt. So können Synergien gezielt genutzt werden, womit der Zeitaufwand bei Kombi-Audits im Vergleich zu mehreren Einzelaudits um bis zu 30 Prozent geringer ausfällt.

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB