1

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Kapsch BusinessCom gehört zu den führenden IKT-Service-Providern in Österreich mit einem

Jahresumsatz von rund 300 Mio. Euro. Ein Großteil der Projekte ist von Hochsicherheitsan-

forderungen begleitet. Zu den Kunden von Kapsch gehören das Österreichische Bundesheer

ebenso wie namhafte Finanzdienstleister. Banken und Kreditkartenunternehmen verlangen

höchste Geheimhaltung und Datenintegrität. Daher setzt Kapsch BusinessCom bereits seit dem

Jahr 2004 auf die ISO-27001-Zertifizierung für Informationssicherheit und seit 2011 auf die

ISO-20000-Zertifizierung für IT Service Management. Integriert wurden beide Standards auf

Basis der ISO 9001 in ein Gesamtmanagementsystem für das ganze Unternehmen.

Integration von:

ISO 9001/27001/20000

bei Kapsch BusinessCom

CIS – Secure Your Business . Akkreditiert nach ISO 27001 und ISO 20000

Fallbeispiel: Integrierte Managementsysteme

Integration der

Managementsysteme wird

bei Kapsch BusinessCom groß

geschrieben.

Unterirdisches Kapsch-Hochsicherheitsrechenzentrum in Kapfenberg

Synergien durch ähnliche Strukturen

30 Prozent weniger Aufwand für Kombi-Audits

Integriertes Risk und Compliance Management

Fotocredit: istockphoto nmcandre

2

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Während sich der Scope der ISO 9001 und ISO 27001 österreichweit auf alle acht Standorte

mit insgesamt 1000 Mitarbeitern bezieht, umfasst die ISO 20000 nur den Bereich ICT Delivery.

Integration bei Systemelementen: Dokumentenlenkung

„Bei der ISO-27001-Einführung wurden die Normforderungen aus der Informationssicherheit

direkt in bestehende Prozesse integriert und Systemelemente wie Verantwortlichkeit des

Managements, KVP, Audits, Reviews oder Dokumentenlenkung um die zusätzlichen Aspekte

ergänzt“, berichtet Harald Strobl, bei Kapsch BusinessCom verantwortlich für die Leitung der

Managementsysteme. Das Beispiel der Dokumentenlenkung veranschaulicht die Synergien:

Während gemäß Qualitätsmanagement nur zwischen internen und externen Dokumenten

unterschieden wird, kommt aufgrund der Informationssicherheit die Klassifizierung in „öffent-

lich, intern, vertraulich, streng geheim“ hinzu. Und aus Sicht der ISO 20000 sind zusätzlich

Vertragsvorgaben für Service Level Agreements zu erstellen.

Synergien und Divergenzen

„Obwohl die Systemelemente in allen ISO-Managementsystemen gleichermaßen zur Anwen-

dung kommen, sind inhaltliche Überschneidungen bei den Prozessen naturgemäß nicht durch-

gängig“, erklärt Herbert Filacchione. Er fungiert für die Zertifizierungsorganisationen CIS und

Quality Austria als Auditor für ISO 9001, ISO 27001 und ISO 20000 – ein kombiniertes Audit

für alle Standards ermöglicht bis zu 30 Prozent Zeit- und Aufwandsersparnis. „Prozesse wie

Human Ressources, Incident und Problem Management können übergreifend mit spezifischen

Ausprägungen umgesetzt werden, während etwa technische Security-Prozesse nur ISO 27001

oder ISO 20000 betreffen“, führt er die Unterschiede aus. Zu ISO 20000 ergänzt er: „Wesent-

lich bei diesem Standard ist, dass Unternehmen Ihre Kosten pro Service exakt kalkulieren und

somit hochwertige Dienste zu sehr wettbewerbsfähigen Preisen anbieten können“.

Zentrale Prozesse: Recruiting und Angebotslegung

Übergreifende Prozesse können effizient um die jeweils zusätzlichen Normforderungen

erweitert werden: Während im Recruiting der Kapsch BusinessCom früher Abschlusszeugnisse

bei Bewerbungsgesprächen vorzulegen waren, ist heute in sicherheitsrelevanten Bereichen eine

umfassende Verlässlichkeitsprüfung erforderlich. Zudem müssen neue Mitarbeiter die Security-

Richtlinien unterschreiben, womit sie für Verstöße haften. Auch der Angebotsprozess hat durch

Einführung der ISO 27001 eine profitable Systematik erlangt. Während Angebote früher nach

Mindestkriterien gelegt wurden, muss ein Offert heute eine Risikoanalyse durchlaufen, in der

die Risiken dem Nutzen gegenübergestellt und die Projekte nach Größe und Anspruch klassi-

fiziert werden. Harald Strobl resümiert: „Durch die Informationssicherheit hat ein fundiertes

Risikoverständnis Einzug in unterschiedlichste Bereiche des Unternehmens gehalten.“

CIS – Secure Your Business . Akkreditiert nach ISO 27001 und ISO 20000

Fallbeispiel: Integrierte Managementsysteme

„Bei der ISO-27001

-Einführung haben wir die

Normforderungen direkt

in bestehende Prozesse

integriert.“

Harald Strobl, Leiter

Managementsysteme,

Kapsch BusinessCom AG

„Ein kombiniertes Audit

für alle drei Standards

ermöglicht bis zu 30 Pro-

zent Zeit- und Aufwandser-

sparnis.“

Herbert Fillacchione, CIS,

Quality Austria Auditor

3

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Riskmanagement: neue Gesamtsicht

Das Riskmanagement der Kapsch BusinessCom ist generell ein Beispiel für eine gelungene

Integration. Anforderungen aus allen drei Standards werden hier abgebildet, Kennzahlen

ermittelt, möglichen Risiken gegenübergestellt und letztere monetär bewertet: „Aus QM-Sicht

ist dies etwa die Kundenzufriedenheit gegenüber Leistungsmängeln. Aus IS- und ITSM-Sicht

ist dies die Nutzung der Services und mögliche Verletzungen in Richtung Rechtssicherheit

oder Verfügbarkeit. Aus Sicht der Planungs- und Strategieprozesse werden mögliche Folgen

wegbrechender Märkte berechnet. So erhalten wir eine umfassende Gesamtsicht in Richtung

Enterprise Riskmanagement sowie aussagekräftige Kennzahlen für alle drei Standards“,

erklärt Strobl.

Vorteil für die oberste Leitung

Auch in sämtlichen Gremien werden die drei Managementthemen QM, IS und ITSM integriert

behandelt, was den Vorteil hat, das hochrangige Führungskräfte in einem Meeting alle drei

Bereiche bearbeiten und wertvolle Zeit sparen. „In der Kapsch BusinessCom sowie in der

gesamten Kapsch-Gruppe sind die Managementsysteme auf höchster Ebene angesiedelt, was

der Qualität und Reife des Gesamtsystems zu Gute kommt“, lobt Auditor Herbert Filacchi-

one. So führt die Kapsch-Gruppe monatlich ein Abstimmungsmeeting mit dem Vorstand und

verschiedenen Stabstellen durch. Innerhalb der Kapsch BusinessCom ist der Vorstand in die

Management Reviews eingebunden und im Sinne der Gesamtsicht werden hier zusätzlich zu

QM-, IS- und ITSM-Aspekten auch Fragen in Richtung Umwelt, Abfallwirtschaft und Brandschutz

behandelt. Zu den Prozess-Verantwortlichen gehören neben dem Vorstand auch das Manage-

ment aus dem Verkauf, aus dem Marketing sowie das Controlling oder die Rechtsabteilung.

Dabei sind Kontrollfragen und Checklisten zu den einzelnen Standards vollständig in die

Interviewleitfäden integriert, so dass die Verantwortlichen in internen Audits oder Befragungen

im Rahmen der Business Impact Analyse kaum bewusst wahrnehmen, auf welche Norm sich

eine gegenständliche Frage bezieht.

Auf der Zielgeraden

„Bei der Definition von Zielen lassen sich aus Unternehmenszielen unterstützende QM-, IS- und

ITSM-Ziele ableiten“, berichtet Harald Strobl. Lautet beispielsweise eine Unternehmensvorgabe

„20 Prozent Steigerung in einem Marktsegment“, so wird als abgeleitetes QM-Ziel etwa eine

Kundenzufriedenheit von über 95 Prozent definiert, als Security-Ziel die Reduktion der Ein-

trittswahrscheinlichkeit relevanter Sicherheitsvorfälle und als ITSM-Ziel eine Verfügbarkeit des

IT-Systems von mehr als 99,9 Prozent. „Auch für das Kunden-Feedback nach abgeschlossenen

Projekten werden die Fragen dazu aus allen drei Normen generiert und die Ergebnisse fließen

in die strategische Gesamtplanung ein“, ergänzt der Managementsystem-Leiter.

CIS – Secure Your Business . Akkreditiert nach ISO 27001 und ISO 20000

Fallbeispiel: Integrierte Managementsysteme

Im Riskmanagement

werden alle ISO-Standards

sowie Planungs- und Stra-

tegieprozesse abgebildet.

Aus Unternehmenszielen

lassen sich unterstützende

QM-, IS- und ITSM-Ziele

direkt ableiten.

Fotocredit: istockphoto faberfoto_it

Fotocredit: Fotolia Olivier Le Moal

4

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Schulungen: Kapsch University und E-Learning

Im Trainingsbereich profitiert das Gesamtsystem von der Logik aus dem Qualitätsmanagement,

mit seinen Anforderungen „Bedarfserhebung, Budgetierung, Durchführung, Erfolgsmessung“ –

wobei die gesamte Schulungsbedarfserhebung integrativ erfolgt: In Mitarbeitergesprächen wird

der Schulungsbedarf aus allen Bereichen individuell ermittelt, in die „Kapsch University“-Platt-

form eingepflegt und dort budgetiert. Parallel dazu wurde ein E-Learning-Tool implementiert,

womit nicht nur der Schulungsbedarf im Bereich Informationssicherheit flexibel abgedeckt

wird – ursprünglich wurde die Software dafür entwickelt. Zusätzlich kann das Tool leicht mit

anderen Inhalten befüllt und für andere Trainings adaptiert werden – von der ITIL-Schulung

bis zum Brandschutzkurs. Auch Prüfungen im Sinne einer Erfolgsmessung können absolviert

werden. Der Vorteil für die Anwender: „Unsere Mitarbeiter kennen das Tool bereits nach der

ersten Schulung und finden sich so dann bei weiteren Trainings gut zurecht“, betont Strobl.

Licht im Legal-Compliance-Dschungel

Ein weiteres wichtiges Element eines Integrierten Managementsystems ist die Legal Compli-

ance: „Die große Anzahl an Gesetzesänderungen aus den verschiedensten Bereichen bereitet

vielen Unternehmen Probleme“, berichtet Auditor Herbert Filacchione. Bei Kapsch BusinessCom

wurde die Gesetzesflut und das Konglomerat an Richtlinien zunächst mit einer Sharepoint-

Lösung verwaltet, was an Grenzen stieß – denn bei verteilten Standorten kommen auch

regionale Gesetze wie etwa eine geänderte Rauchfangkehrer-Verordnung in Dornbirn dazu.

„Mittlerweile nutzen wir eine optimale Strategie“, berichtet Strobl: „Wir verwenden eine

Rechtsmitteldatenbank in Kombination mit einem automatischen Änderungsdienst und erhalten

regelmäßig Meldungen über all jene Gesetzesänderungen, die auf unsere zuvor definierten

Anforderungen zutreffen.“ Als abschließenden Praxistipp unterstreicht Harald Strobl: „Sobald

das Integrierte Managementsystem eine solide Reife erreicht hat, kann das System insgesamt

schlanker werden. Daher lautet unser Motto heute: Weniger ist mehr. Nicht zu viel vorgeben,

sondern auch das selbständige Mitdenken der Mitarbeiter fördern und nutzen.“

Kombinierte Zertifizierungs- und Überwachungsaudits:

von CIS und Quality Austria

Durch ihre strategische Kooperation können die Zertifizierungsorganisationen CIS und Quality

Austria themenübergreifende Auditoren-Teams für kombinierte Zertifizierungs- und Über-

wachungsaudits zusammenstellen – viele Auditoren sind für die Prüfung von zwei bis drei

Standards ausgebildet. Schon bei der Audit-Planung wird Wert auf eine effiziente Durchfüh-

rung vor Ort gelegt. So können Synergien gezielt genutzt werden, womit der Zeitaufwand bei

Kombi-Audits im Vergleich zu mehreren Einzelaudits um bis zu 30 Prozent geringer ausfällt.

CIS – Secure Your Business . Akkreditiert nach ISO 27001 und ISO 20000

Fallbeispiel: Integrierte Managementsysteme

Synergien: Viele der Audi-

toren von CIS und Quality

Austria sind für die

Prüfung mehrerer

Standards ausgebildet.

Fotocredit: istockphoto Yuri

5

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Von der Implementierung zum Zertifikat

Die führenden Zertifizierungsorganisationen CIS und Quality Austria ergänzen sich thematisch:

Während CIS auf IT-affine Standards wie ISO 27001 für Informationssicherheit, ISO 20000

für IT-Service-Management und ANSI/TIA 942 für Rechenzentrumsinfrastruktur spezialisiert ist,

deckt Quality Austria industrie- und gewerbenahe Zertifizierungen ab. Die Grafik gibt einen

Überblick über den Zertifizierungsprozess bei ISO 27001 und / oder ISO 20000:

CIS - Certification & Information Security Services GmbH, A - 1010 Wien, Salztorgasse 2/6/14, Tel: +43 (0)1 532 98 90, www.cis-cert.com, office@cis-cert.com

Fallbeispiel: Integrierte Managementsysteme

Das Zertifikat macht

Wettbewerbsvorsprung

für Ihre Kunden

sichtbar

InformationsgesprächCIS-Erstgespräch: Details über Zertifizierungsprozess. Dann Registrierung, Projektplanung

AnalyseInterne Evaluierung des Verbesserungspotenzials, Bewertung vorhandener Maßnahmen.*

ImplementierungMaßnahmenumsetzung nach ISO 27001 und/oder ISO 20000 im Unternehmen*

CIS Stage Review (Vorbeurteilung)Optional: Projektbegleitende Prüfung der implementierten Elemente durch CIS-Auditoren

CIS System & Risk Review (Vorbegutachtung)CIS prüft Interpretation der Normforderungen und Dokumentation, „Generalprobe“

CIS Certification AuditÜberprüfung des Systems durch multiple Stichproben. Auditbericht mit zukünftigem Verbesse-

rungspotenzial. Das CIS-Zertifikat nach ISO 27001 / ISO 20000 gilt 3 Jahre

CIS Surveillance AuditDas einmal pro Jahr durchgeführte Surveillance Audit überprüft die Effektivität des gesamten

Managementsystems sowie seine ständige Verbesserung

CIS Recertification AuditNach 3 Jahren haben Sie die Möglichkeit, das abgelaufene Zertifikat erfolgreich zu erneuern

*Die CIS als unabhängige Prüfstelle ist nicht involviert

Fotocredit: istockphoto nico_blue

Fotocredit: Anna Rauchenberger