ISO 27001:2013 wird auch als ein wesentlicher Wirtschaftstreiber verstanden, der die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in den Services für die Kunden sicherstellt. Viele Jahre bereits betrieb die wgv Versicherungen ein erfolgreiches Informationssicherheitsmanagement bis man sich für eine Zertifizierung nach ISO 27001:2013 entschied. Die HiSolutions AG unterstützte die wgv bei der erfolgreichen Umsetzung dieses Projektes.

Success Story als PDF herunterladen

Über wgv Versicherungen

Die Württembergische Gemeinde-Versicherung a. G. wurde vor rund 100 Jahren als Kommunalversicherungsverband für die Belange von Städten, Landkreisen und Schulen gegründet. 

Bereits kurze Zeit später erweiterte die wgv ihr Versicherungsangebot auf Privatkunden mit Kfz-, Haftpflicht-, Unfall- und Sach­versicherungen.

Vertrauen und Verantwortungsbewusstsein sowie Kunden- und Serviceorientierung sind die zentralen Werte der wgv, deren Ver­sicherungslösungen individuellen und bedarfsgerechten Schutz zu äußerst 
günstigen Preisen bieten.
 

Projektziel

Primäres Ziel des Projektes war die Er­weiterung des bereits vorhandenen Informa­tionssicherheitsmanagements zu einem vollständigen und zertifizierbaren Informationssicherheitsmanagementsystem.

Dabei sollten die vorhandenen, etablierten Strukturen (z. B. Risikomanagement, Datenschutz, Revision oder Compliance) berücksichtigt werden.
 

Herausforderung

Die Veröffentlichung der neuen Version ISO 27001:2013 (Oktober 2013) und die damit verbundene, leichte Anpassung der ursprünglichen Anforderungen stellten eine grundlegende Herausforderung dar.

Während viele andere Unternehmen den Geltungsbereich des Zertifikats zunächst auf den IT-Betrieb einschränken, hat sich die wgv für einen „Full Scope“-Ansatz entschieden. Sowohl die Fachbereiche für „Komposit und Leben“ als auch die Softwareentwicklung sollten berücksichtigt werden. Dieser wertvolle Schritt erweiterte den Projektumfang und die nötigen Abstimmungen beachtlich.

Durch die Erweiterung gab es keine Ausschlüsse in der sogenannten Anwendungserklärung. Alle Controls im Anhang der Norm mussten behandelt werden.

Eine weitere Herausforderung bestand in der Integration der bereits gewachsenen und etablierten Strukturen der wgv (z. B. Risikomanagement, Compliance Management) in das ISMS.

Schließlich musste das Projekt parallel zu anderen laufenden großen und wichtigen Projekten wie etwa dem Umzug des Rechenzentrums umgesetzt werden.

Zum Themenereich ISO 27001

Umsetzung

Zunächst wurde eine GAP-Analyse durchgeführt, um den Status der Zertifizierbarkeit des vorhandenen ISMS nach ISO 27001 zu bewerten. Aufgrund der bereits etablierten Strukturen schnitt die wgv hierbei überdurchschnittlich gut ab.

Einige in der GAP-Analyse identifizierte und hinsichtlich der Normenkonformität noch vorhandene Lücken dienten als Grundlage für den darauf folgenden Workshop, in welchem der Geltungsbereich für die Zertifizierung bestimmt wurde.

Normenkonform wurden schließlich die Anforderungen der „interessierten Parteien“ festgelegt. Auf dieser Basis konnten die Aufgaben ermittelt und den jeweils verantwortlichen Bereichen zugeordnet werden.

Die Mitarbeiter zeigten eine hohe Motivation, diese Aufgaben mit großer Qualität umzusetzen. Dabei wurden auch vorhandene Vorgehensweisen genutzt, beispielsweise für die Revision und den Datenschutz.
 

Ergebnis

In 18 Monaten wurde das unternehmensweite ISMS soweit überarbeitet und ausgebaut, dass es nach ISO 27001: 2013 zertifizierbar ist.

Bereits vorhandene, etablierte Strukturen wurden erfolgreich integriert.
 

Das sagt unser Kunde

„Dank der hervorragenden Gemeinschaftsleistung unserer Mitarbeiter und HiSolutions haben wir unser ehrgeiziges Ziel – die parallele Konzeption und Umsetzung des Code of Conduct und der Zertifizierung nach ISO 27001 – mit Bravour erreicht.“

Dr. Klaus Brachmann
Stellvertretender Vorstandsvorsitzender; wgv Versicherungen
 

Über die HiSolutions AG

Seit über 25 Jahren engagieren wir uns in der Planung, Umsetzung und Überprüfung technischer sowie organisatorischer Informationssicherheitsmaßnahmen für Kunden aus nahezu allen Branchen und aus der öffentlichen Verwaltung.

Die Vielzahl erfolgreich durchgeführter Kundenprojekte hat uns zu einem der Marktführer in Deutschland gemacht.

Unsere Spezialisten verfügen über ein­schlägige Zertifizierungen.;

Wir beschäftigen ISO 27001 Lead Auditoren, Audit-Teamleiter, IS-Revisoren, CISAs, CISSPs, ISO 22301 Lead Auditoren etc. Unsere zertifizierten Datenschützer werden als externe Sicherheits- oder Datenschutz­beauftragte bestellt.