Branche:

Konsumgüterindustrie, Chemie

Problemstellung:

Das börsennotierte Unternehmen orientiert sich bei der Informationssicherheit am international anerkannten Standard ISO 27000. Aus den Security Policies wurden notwendige Controls (risikoreduzierende Maßnahmen) abgeleitet – dies geschah jedoch nicht einheitlich für die gesamte Organisation. Eine ganzheitliche und fortlaufende Übersicht über die durchzuführenden Controls und identifizierten Probleme konnte somit nicht garantiert werden. In Folge deckten Audits auf, dass Controls unzureichend umgesetzt und dokumentiert wurden.

Projektzielsetzung:

Die Einhaltung der Controls soll regelmäßig überprüft und identifizierte Defizite nachweislich ausgeräumt werden. Für die Umsetzung wurde das Tool ServiceNow® GRC benutzt.

Projektvorgehen:

Es wurde ein agiles und risikorientiertes Vorgehensmodell entwickelt, um frühzeitig sichtbare Projektergebnisse zu erzielen:

• Priorisierung der zu betrachtenden Controlrequirements und Assets sowie die Ausformulierung der sich daraus ergebenen Controls,
• Gruppierung der Controls in Wellen in Abhängigkeit von ihrer Priorisierung,
• Roll-Out der Controls in das GRC-Modul von ServiceNow®,
• Umsetzung weiterer Wellen. Diese wurden auch parallel durchgeführt,
• Initiierung der regelmäßigen Überprüfung der Einhaltung der Controls: Identifizierte Defizite werden dokumentiert und nachweislich ausgeräumt,
• Durchführung von Awareness-Kampagnen und Trainings für die gesamte Organisation,
• Schaffung der organisatorischen und technischen Voraussetzungen, d.h. Implementierung des SNOW GRC Moduls sowie die Anpassung der Organisation an die notwendigen Prozesse.

Projektergebnisse:

Schwachstellen werden durch fortlaufende Überprüfung der Controls aufgedeckt, dokumentiert und nachweislich ausgeräumt. Darüber hinaus werden die Erkenntnisse aus der Überprüfung für Anpassungen und Verbesserungen des IT-Control Frameworks genutzt (kontinuierlicher Verbesserungsprozess).