Projektmanagement zur Vorbereitung auf BSI Zertifizierung
|
Der Kunde
Der Kunde ist ein Zusammenschluss aus Unternehmen der Automobilindustrie und einem Unternehmen zum Verkehrsmanagement. Ein völlig neuer Service war im Aufbau und sollte gegen Sicherheitsvorfälle vorbereitet werden. Das neue Unternehmen wird im Fokus der Öffentlichkeit stehen sowie viel Mißgunst erfahren.
Herausforderung
Mehrere unterschiedliche Beratungshäuser und Ihre Consultants arbeiten auf dem Projekt. Es ist politisch spannend und es herrscht hoher Erfolgsdruck. Die Zusammenarbeit mit dem BSI muss aufgebaut werden; zu der Zeit sind noch weniger als zehn Unternehmen nach BSI zertifiziert. Der IT-Dienstleister hat noch keine BSI Zertifizierung durchgeführt. Intern wird dort sehr heterogen gearbeitet. Es sind keine durchgängigen Policies vorhanaden.
Lösung
Das Vorgehen wird mit dem Gesamtverantwortlichen für IT-Sicherheit fest gelegt. Die vom BSI vorgegebene Methodik wird toolunterstützt durchgezogen und nach der Bestandsanalyse und Schutzbedarfsfeststellung werden sehr viele Audits bei Dienstleistern durchgeführt.
Ein durchgängiges Regelwerk von Sicherheitspolicies wird aufgebaut und der IT-Dienstleister wird gleichermaßen zertifiziert.
Die Zertifizierung wird zwei geteilt. Der Scope wird in eine organisatorische und eine technische Komponente aufgeteilt. Damit sind die Verantwortlichkeiten klar getrennt und die Sicherheitsmaßnahmen können besser umgesetzt werden.
Während dem Projekt werden viele Dokumente erstellt. Dazu gehören u.a.:
- Template für Auditergebnisse
- Policies für Intrustion Detection Systeme
- Policies für Netzwerkkopplung
- Guidelines für Firewallkonfigurationen
- Rollenbeschreibungen der Security Manager
- Organigramm des Security Office
Ergebnis
Heute ist das Unternehmen zertifiziert und der Betrieb hat vielen negativen Einflüssen stand gehalten. Die Kritiker sind verstummt und in der Presse sind (aktuell) keine Schlagzeilen zu lesen.