PROMOS consult gehört zu den führenden Beratungs- und Systemhäusern in der deutschen Immobilienwirtschaft. Zu ihren Angeboten gehören u. a. die cloudbasierten easysquare Apps, mit welchen der Arbeitsalltag im Immobiliengeschäft erleichtert wird. Um einen sicheren Umgang mit den eigenen und Kundeninformationen zu gewährleisten, hat PROMOS consult gemeinsam mit HiSolutions ein Informationssicherheitsmanagementsystem (ISMS) gemäß dem internationalen Standard ISO/IEC 27001 implementiert und dabei Anforderungen des C5-Katalogs integriert.

Success Story als PDF herunterladen

Ziel: Implementierung eines ISMS nach ISO/IEC 27001

Durch den Aufbau eines unternehmensweiten ISMS sollte das bereits gute Sicherheitsniveau bei PROMOS consult ausgebaut und kontinuierlich weiterentwickelt werden. In diesem Zuge sollten Prozesse geschaffen werden, um Informationssicherheitsrisiken schnell zu identifizieren und wirksam behandeln zu können. Ein wesentlicher Fokus im Projekt lag auf der Entwicklung praxistauglicher Prozesse und Vorgaben, um ein lebendiges ISMS zu gestalten, an dem alle Abteilungen aktiv mitwirken. 

Neben den Anforderungen der ISO/IEC 27001 sollten aufgrund der cloudbasierten easysquare Apps auch Anforderungen des Kriterienkatalogs C5 (Cloud Computing Compliance Criteria Catalogue) in das ISMS integriert werden.

Herausforderung: Alltagstaugliche Prozesse integrieren

Die Herausforderung im Projekt bestand darin, die Vielzahl an Anforderungen in Prozesse zu überführen, die sich leicht in den Arbeitsalltag integrieren lassen und wenig zusätzlichen Aufwand verursachen. Ziel war es, eine hohe Akzeptanz und Mitwirkungsbereitschaft bei den Mitarbeitenden zu schaffen, damit die definierten Maßnahmen und Prozesse auch tatsächlich in der Praxis gelebt werden.

Umsetzung: Readiness-Check und Einbindung Mitarbeitender

Das Management von PROMOS consult hatte sich das Thema Informationssicherheit selbst als Herzensthema auf den Tisch geholt und angestoßen. Als Grundlage für das Projekt wurde von HiSolutions ein Readiness-Check hinsichtlich der C5-Anforderungen durchgeführt. Auf dieser Basis wurde gemeinsam ein Projektplan für die Etablierung der ISO 27001 und der noch nicht erfüllten C5-Anforderungen erstellt. Dieser wurde bewusst auf fast zwei Jahre ausgelegt, um ausreichend Zeit für die Einbindung der Mitarbeitenden sowie die Erprobung und Verbesserung der definierten Prozesse in der Praxis zu haben. Um die Praxistauglichkeit des ISMS sicherzustellen, involvierte HiSolutions direkt die Ansprechpersonen aus den jeweils betroffenen Fachbereichen in die Entwicklung von Sicherheitsvorgaben und Prozessen. Zusätzlich wurde das ISMS ausschließlich in bereits bestehende Toollösungen integriert, um zusätzliche Aufwände für die Teams gering zu halten. Durch die Nutzung vorhandener Lösungen, z. B. im Bereich Assetmanagement, konnten die bereits hinterlegten Informationen zu den IT-Assets in I-doit genutzt werden und mussten lediglich um relevante Informationen für das ISMS, wie Risikoeinschätzungen, ergänzt werden. Ein weiterer Erfolgsfaktor bei der Nutzung vorhandener Tools war das umfangreiche Wissen der User und deren Erfahrungen hinsichtlich der Toolfunktionalitäten. Beispielsweise wurde der neue Change-Management-Prozess vollständig in das Ticketsystem integriert. Dadurch konnten etablierte Prozesse zur schnellen Verteilung und Verwaltung von Informationen und Aufgaben aufgegriffen werden, und der neue Prozess wurde reibungslos in die Praxis umgesetzt. 

Die Einbindung des gesamten Unternehmens wurde zusätzlich durch eine Vielzahl spannender und humorvoller Awareness-Maßnahmen begleitet, die guten Anklang in der Belegschaft fanden. 

Ergebnis: Lebendiges und TÜV-geprüftes ISMS auf sehr hohem Sicherheitsniveau

Innerhalb von knapp zwei Jahren wurde gemeinsam mit den Beteiligten ein lebendiges und anforderungskonformes ISMS aufgebaut, in dem Mitarbeitende proaktiv Ideen und Verbesserungsvorschläge einbringen.

Ein weiterer positiver Effekt der Interaktion mit der gesamten Belegschaft war, dass ein großes Interesse für das Thema Informationssicherheit geweckt wurde und eine Kollegin aus der IT als Information Security Officer gewonnen werden konnte.

Im Rahmen der Zertifizierung wurde PROMOS consult ein sehr hohes Sicherheitsniveau vom TÜV Rheinland bescheinigt. Insbesondere der hohe Reifegrad des ISMS sowie die proaktive Mitwirkung der Belegschaft beeindruckte das Auditoren-Team. 

Das sagt unser Kunde:

"Durch die enge Zusammenarbeit und das weitreichende Fachwissen von HiSolutions war es uns möglich, ein qualitativ hochwertiges und lebendes ISMS aufzubauen. Selbst spezielle und teilweise sehr fachspezifische Fragestellungen konnten im Projekt behandelt werden. Dadurch konnte der interne Wissens- und Prozessaufbau rund um das ISMS reibungslos stattfinden."

Viktoria Sorgalla
Information Security Officer (ISO)