Aufbau eines Informationssicherheits-Managementsystems (ISMS) innerhalb der SIEMENS AG
Der Einsatz von Informationssicherheits-Managementsystemen (ISMS) gehört inzwischen zu den Kernelementen der Unternehmensstrategien zum Schutz vor den Cyber- und weiteren Security-Gefahren. Auch bei der Siemens AG setzen deshalb immer mehr Geschäftseinheiten auf den internationalen Standard ISO/IEC 27001. Die Abteilung für Corporate Governance hat die TÜV TRUST IT mit der Einführung eines ISMS nach ISO/IEC 27001 beauftragt und damit eine wichtige Basis für die Informationssicherheit innerhalb des Siemens Konzerns geschaffen.
Die SIEMENS AG ist ein weltweit führendes Unternehmen, das entlang der Wertschöpfungskette der Elektrifizierung aufgestellt ist – von der Umwandlung, Verteilung und Anwendung von Energie bis zur medizinischen Bildgebung und In-vitro-Diagnostik. Weltweit aktiv, beschäftigt das Unternehmen über 370.000 Mitarbeiter und erwirtschaftete im Geschäftsjahr 2017 Umsatzerlöse in Höhe von rund 83 Mrd. Euro.
Zur Umsetzung ihrer Sicherheitsstrategien bedient sich Siemens bei Bedarf externer Kompetenzträger. So auch für die Corporate Governance-Abteilung im Konzern, als eine Unterstützung zur Erhöhung der Prozessreife des ISO 27001:2013-basierten ISMS mit Vorbereitung und Begleitung einer nachfolgenden Zertifizierung erforderlich wurde. Siemens hat sich dafür im Juni 2017 für die TÜV TRUST IT als externen Partner entschieden.
Ausgangssituation
Ziel des Projektes war es, ein ISMS innerhalb der Corporate Governance, einer der Basis-Abteilungen des Konzerns, zu etablieren. Hierbei wurde ein besonderes Augenmerk auf die einzelnen Teilprozesse des ISMS mit der Dokumentenlenkung, Auditierung und dem Risikomanagement gelegt. Sie sollten so gestaltet werden, dass ihre Verwendung unabhängig von der abzusichernden Abteilung möglich ist. Hinzu kam als weitere grundsätzliche Komplexitätsanforderung:
Da Siemens über unterschiedliche Anwendungsbereiche für seine Services verfügt, die es jeweils über die nachweisbare Implementierung eines Informationssicherheits-Managementsystems abzusichern gilt, sollte in einer zentralen Abteilung ein zertifiziertes ISMS eingeführt werden, um von dort aus die zertifizierten Teilprozesse zu verteilen. Diese Teilprozesse sollten so abgebildet werden, dass sie von den anfordernden Business Units nur noch personalisiert werden müssen.
Vorgehensweise
Im Rahmen eines internen Vorprojektes wurde bei diversen Organisationsbereichen des Konzerns bereits ISMS-Bestandsaufnahmen und Gap-Analysen durchgeführt. Dazu gehörte die Identifizierung und fachliche Bewertung der Abweichungen zwischen dem vorhandenen und einem nach ISO/IEC 27001:2013 zertifizierungsfähigen Stand des ISMS. Diese Erkenntnisse wurden bei der weiteren Entwicklung des ISMS berücksichtigt.
Nach dieser eingehenden Recherche und Evaluierung der hausinternen Prozesse zur Informationssicherheit wurden diese durch Verwendung der Dokumentenvorlagen des ISMS Frameworks der TÜV TRUST IT konsolidiert und strukturiert.
Fehlende relevante Methodiken und Nachweise wurden in enger Zusammenarbeit mit den Projektverantwortlichen auf Seiten von Siemens erstellt und veröffentlicht. Hieraus ergab sich ein konzerninternes ISMS-Framework, welches im Konzern verbreitet wurde, um anstehenden Zertifizierungsanforderungen besser gerecht werden zu können.
Ein strukturiertes Arbeiten sowie die kreative Verwendung des ISMS Frameworks der TÜV TRUST IT ermöglichte es, das Projekt innerhalb von vier Monaten abzuschließen und das etablierte ISMS in der Abteilung für Corporate Governance erfolgreich von einer akkreditierten Zertifizierungsstelle zertifizieren zu lassen.
Nutzen
- Die zentrale Abteilung Corporate Governance verfügt nun über ein zertifiziertes ISMS, dessen einzelne Teilprozesse so gestaltet wurden, dass diese von weiteren Business Units der SIEMENS AG verwendet werden können.
- Mit der Zertifizierung wird bescheinigt, dass die Organisation über ein funktionierendes IT-Sicherheitsmanagement verfügt.
- Dieses IT-Sicherheitssystem kennt die Risiken der Organisation und kann daraus Regeln ableiten. Mit dessen Hilfe können Prozesse dokumentiert und gemessen werden.
- Durch die Zertifizierung kann die SIEMENS AG gegenüber ihren Kunden und Geschäftspartnern das Qualitätsniveau objektiv und überzeugend nachweisen.