Compliancezertifizierung nach ISO 27001, 27005 und VDA PTS bei der Wilhelm Karmann GmbH i.I.

Complianceforum.de im Gespräch mit Herrn Volker Plogmann, Leiter Patente, Marken, Lizenzen, Wilhelm Karmann GmbH i.I., Osnabrück

Complianceforum.de:
1) Was war der Anlaß für Karmann eine Zertifizierung nach ISO 27001, 27005 und VDA PTS vorzunehmen?

Volker Plogmann:
Die Karmann Unternehmensgruppe einschließlich ihrer verbundenen Unternehmen war und ist als Zulieferer und Dienstleister im Automobilsektor besonders von Informationen abhängig. Informationen entscheiden über den Erfolg eines Unternehmens. Von größter Wichtigkeit ist/war für die Karmann Unternehmensgruppe, ihre verbundenen Unternehmen und ihre Kunden neben der Integrität und Verfügbarkeit auch die Vertraulichkeit von Informationen. Die Informationssicherheit hat in den letzten Jahren einen immer höheren Stellenwert eingenommen, sodass es auf Grund der unterschiedlichen Kundenanforderungen unumgänglich war, die Zertifizierung vorzunehmen.

Complianceforum.de:
2) Wie ist Karmann mit der Gefahr zusätzlicher Bürokratie und Verwaltung umgegangen?

Volker Plogmann:
Zur Vermeidung von zusätzlicher Bürokratie und Verwaltung ist mit der Zertifizierung eine Management-Methode eingeführt worden, die zwar zu Beginn ein erhöhten Arbeitsaufwand bedeutete, aber auch ein effizientes und kostengünstiges Instrument für die Zukunft mit sich gebracht hat. Dabei trifft das Thema in vielfältiger Weise in Erscheinung, z.B. bei Daten, EDV-Systemen, neuen Entwicklungen, Zugangsberechtigungen u.a. Mit dieser Management-Methode und der Bezeichnung " InformationsSicherheitsManagementSystem" (ISMS) ist ein von der Geschäftsführung definiertes hohes Sicherheitsniveau in allen Unternehmensbereichen umgesetzt worden, wobei ein geordneter Sicherheitsprozess ohne zusätzliche Administration Teil unserer Aufgabenabwicklung war. Dazu sind Regeln definiert, Richtlinien erstellt und Maßnahmen umgesetzt worden, die das Ziel haben, Informationssicherheit bei Karmann zu gewährleisten. Denn Informationssicherheit ist ein bedeutender Teil unserer Verpflichtung gegenüber unseren Kunden, schützt das Know How und damit die Wettbewerbsfähigkeit.

Complianceforum.de:
3)   Wie viele Monate umfaßte die Implementierung und Zertifizierung der ISO-Richtlinien und wie viele Mitarbeiter waren damals in dem Projektteam tätig?

Volker Plogmann:
Mit der Implementierung und Zertifizierung der ISO-Richtlinien wurde gleichzeitig das o.g. ISMS definiert und eingeführt. Insbesondere die Einführung des ISMS erforderten einige Ressourcen. Das gesamte Projekt wurde in gut 1 Jahr bearbeitet und das Projektkernteam bestand aus 8 bis 10 Mitarbeitern, wobei diese nicht Vollzeit in dem Projekt tätig waren.

Complianceforum.de:
4)   Wie erfolgt die Risikoklassifikation bei Karmann?

Volker Plogmann:
Die Risikoklassifikation erfolgt aus der Sicht des Business, d.h. dem jeweiligen Geschäftsbereich. Dabei ist entscheidend, welche Prozesse maßgeblich zum Erfolg des Unternehmens beitragen und welche Bedrohungen das Potential haben den Geschäftsertrag negativ zu beeinflussen.

Complianceforum.de:
5)   Welches konkrete Risikobeispiel mit einem hohen Schadenspotential ist durch die Zertifizierung ISO 27001 und ISO 27005 aufgefallen?

Volker Plogmann:
Ein Risikobeispiel ist ein Labeldrucker in einem produzierenden Tochterunternehmen im Ausland gewesen, wobei die Produktionsststääte eine sogenannte Plant in Plant - Fabrik war (Zulieferer direkt vor Ort in der Fertigung beim Kunden). Dieser Labeldrucker dient dazu die produktspezifischen Informationen als Label auszudrucken, sodass dieses Label auf dem Produkt angebracht werden kann. Bei der Risikobetrachtung ist im Hinblick auf unsere vertraglichen Verpflichtungen gegenüber dem Kunden ermittelt worden, dass bei einem Produktionsstillstand erhebliches Schadensersatz gegenüber dem Kunden eingetreten wäre. Dieses wäre möglich gewesen, wenn beispielsweise der o.g. Labeldrucker ausgefallen wäre, da seinerzeit kein Ersatzgerät in der Produktion exisierte.

Complianceforum.de:
6)   Welche Erfahrungen können sie anderen Firmen geben, wenn es um den Einsatz externer Dienstleister geht?

Volker Plogmann:
Der für uns tätige externe Dienstleister, hat die richtungsweisenden Maßnahmen in unserem Hause mit umgesetzt.
Dabei sind folgende Punkte zu erwähnen, die zuvor noch nicht im Hause durchgängig bestanden und benannt waren:

    Benennung der zuständigen Sicherheitsbeauftragten für IT, Produktsicherheit und Werkssicherheit,
    Ist-Aufnahme und Analyse der IT- Infrastruktur und Anwendungen über Netzgrenzen hinaus,
    Ermittlung und Bewertung von Risiken,
    IT – Sicherheitsgrundsätze, IT-Sicherheitsleitlinienlinien und IT – Klassifizierungsrichtlinie erstellt,
    Integration der Sicherheit in ein Qualitätsmanagement System (QM),
    Verfügbarkeiten verbessert , Wiederherstellungszeiten gekürzt, ISMS Datenbank eingeführt, Betriebshandbücher, Anweisungen und Richtlinien erstellt,
    Prozessicherheit in der Planung und der Produktion verbessert, wie z.B. Notfallabsicherung, Prozess Change Management,
    Sensibilisierung der Mitarbeiter durch Flyer und verschiedene Artikel,
    Risikomanagement etabliert,
    Methode zur Abbildung der ISMS in der Praxis entwickelt und im Hause eingeführt

Das Gespräch führte Christian Koch.

München, den 10. Mai 2010

Über das Complianceforum

Interviews Compliance

Login Form

Start/News

Compliancezertifizierung nach ISO 27001, 27005 und VDA PTS bei der Wilhelm Karmann GmbH i.I.