datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Beveiliging van bedrijfsinformatie: en casestudy van de Mubea groep

André Saeckel

DQS-standaarddeskundige voor informatiebeveiliging
dec. 06 , 2022
# Informatiebeveiliging in een organisatie

Vandaag levert solide informatiebeveiliging veel meer voordelen op voor bedrijven dan alleen het beveiligen van de technische infrastructuur. Hele bedrijfsprocessen hangen er tegenwoordig in belangrijke mate van af - of het nu gaat om de veilige omgang met gevoelige gegevens of de wettelijk toegestane verwerking ervan. Daarom omvat de term nu ook de bescherming van de volledige informatiestroom. Automobieltoeleverancier Mubea is erin geslaagd de informatiebeveiliging in tien Europese landen te standaardiseren door middel van hun DQS-certificering volgens ISO 27001, waarmee ze zich goed positioneert ten opzichte van de concurrentie. Potentiële IT-risico's en de omgang met vertrouwelijke informatie werden onder de loep genomen en voortdurend verbeterd en verder ontwikkeld.

INHOUD

Informatiebeveiliging in tien landen levert concurrentievoordelen op

Globalisering stelt veel bedrijven voor enorme uitdagingen als het gaat om informatiebeveiliging. De infrastructuur en wettelijke voorschriften verschillen in sommige gevallen enorm per land. Niettemin zijn wereldwijd actieve ondernemingen verplicht een doeltreffend systeem voor vulnerability management toe te passen. De digitalisering van bedrijfsprocessen over de landsgrenzen heen vereist immers van alle betrokken partijen een vergelijkbaar niveau van IT-beveiliging, dat in de hele waardeketen moet worden gewaarborgd.

Ook in de automobielindustrie wordt de beveiliging van gegevens en informatie die bescherming behoeven steeds belangrijker als het gaat om internationale samenwerking tussen verschillende locaties, dochterondernemingen of dienstverleners. Automobieltoeleverancier Mubea stond voor de grote uitdaging om het niveau van IT-beveiliging in tien landen met in totaal 20 dochterondernemingen op hetzelfde niveau te willen brengen.

Informatiebeveiliging in bedrijven - een voordeel waar klanten op letten

Al jaren geleden begon de specialist in lichtgewicht constructies voor carrosserie, chassis en aandrijflijnen de informatiebeveiliging onder de loep te nemen: "Onze klanten verankerden het onderwerp steeds meer in hun inkoopvoorwaarden. En om goed gepositioneerd te blijven bij de concurrentie, wilden we snel handelen", meldt Christiane Habbel, hoofd IT - Information Security & Compliance bij het bedrijf. Maar dat was niet de enige reden: "We streven ernaar om ons beheersysteem voor informatiebeveiliging sowieso voortdurend te verbeteren en om onze medewerkers bewust te maken van het onderwerp. Daarom hebben we in 2017 besloten om een certificering te laten uitvoeren volgens de erkende ISO 27001-norm. Dit helpt ons enorm bij dit streven," aldus Habbel.

ISO 27001 - certificering brengt voordelen

ISO 27001 is een internationale norm voor informatiebeveiliging voor particuliere, openbare of non-profitorganisaties. De norm beschrijft de eisen voor het opzetten, implementeren, beheren en optimaliseren van een gedocumenteerd managementsysteem voor informatiebeveiliging (ISMS). De certificering wordt altijd aangepast aan de omstandigheden van het betreffende bedrijf en houdt rekening met individuele bijzonderheden.

ISO 27001 in de praktijk

De DQS-auditgids voor bijlage A (gebaseerd op ISO 27001:2013)

Profiteer van goede auditvragen en mogelijk bewijsmateriaal over geselecteerde maatregelen.

Van experts op dit gebied.

Meer dan een checklist! Download nu!

Naast het thema informatiebeveiliging houdt de norm zich met name bezig met de analyse en het omgaan met de bijbehorende risico's. Voor bedrijven biedt de norm dus een systematisch gestructureerde aanpak voor de bescherming van de integriteit van operationele gegevens en de vertrouwelijkheid ervan. Tegelijkertijd garandeert de norm de beschikbaarheid van de IT-systemen die betrokken zijn bij de bedrijfsprocessen. Certificaten volgens de wereldwijd erkende norm zijn over het algemeen drie jaar geldig. Met het oog op voortdurende verbetering en de blijvende doeltreffendheid van het managementsysteem wordt echter jaarlijks een controle-audit uitgevoerd.

TISAX® - beoordelingen voor de automobielsector

Het is waar dat TISAX® (Trusted Information Security AssessmentExchange), een door de automobielindustrie gedefinieerde norm voor informatiebeveiliging, sinds 2017 bestaat en daarmee een andere certificeringsmogelijkheid is die veel automobielfabrikanten en -leveranciers inmiddels van zakelijke partners verlangen. TISAX® is echter een Europese norm voor de industrie en nog niet wereldwijd vastgesteld.

"Dat ging ons niet ver genoeg", herinnert Habbel zich. Daarom koos het in Attendorn gevestigde bedrijf in eerste instantie voor een ISO 27001-certificering om een concurrentievoordeel te behalen op het gebied van informatiebeveiliging.

Dubbele certificering door DQS

Met deze beslissing in het achterhoofd ging Mubea op zoek naar een geschikte partner en koos zonder omwegen voor DQS.

habbel-christiane-quelle-mubea

We kwamen DQS vrij snel tegen tijdens ons onderzoek en kwamen er tijdens een eerste ontmoeting achter dat we een zeer goede match waren.

Christiane Habbel Hoofd IT - Informatiebeveiliging & Compliance bij Mubea

Daartoe onderzochten de DQS-auditors eerst de werking van het beheersysteem voor informatiebeveiliging (ISMS) ter plaatse. Daarnaast moest Mubea voor de ISMS-certificering aantonen dat de basiswaarden van informatiebeveiliging goed op elkaar zijn afgestemd: Vertrouwelijkheid, Integriteit en Beschikbaarheid. Dit zijn de drie beschermingsdoelstellingen van informatiebeveiliging.

Potentiële IT-risico's of processen die de informatiebeveiliging in gevaar brengen, werden in dit kader geïnventariseerd en geoptimaliseerd. "De samenwerking met DQS was zeer praktisch en klantgericht. We hadden veel baat bij de diepgaande branchekennis van de auditors, die ons in alle opzichten ondersteunden", aldus Habbel. "Dit geldt voor zowel de ISO 27001- als de TISAX®-certificering."

Informatiebeveiliging voor bedrijven in heel Europa

Met de hulp van DQS is Mubea er echter niet alleen in geslaagd om de beveiliging van gevoelige gegevens en informatie op haar hoofdkantoor te optimaliseren. Met behulp van DQS heeft het bedrijf ook 20 dochterondernemingen op tien locaties in Europa naar een nieuw beveiligingsniveau getild en een gemeenschappelijke beveiligingsstandaard vastgesteld.

Met de twee certificaten kan Mubea zijn eigen informatiebeveiliging nu op betrouwbare wijze aan klanten en partners documenteren. Dit geeft de automotive toeleverancier een concurrentievoordeel in de markt, stelt Habbel: "Met ISO 27001 hebben we niet alleen in heel Europa een hoge beveiligingsstandaard in het bedrijf gebracht. We beschermen onszelf ook tegen cyberaanvallen van buitenaf en hebben onze medewerkers kunnen sensibiliseren voor de beveiliging van onze vertrouwelijke bedrijfsmiddelen. Want informatiebeveiliging is veel meer dan alleen IT-beveiliging. Nu staan we echter niet stil. Jaarlijks worden de belangrijkste onderdelen van ons beheersysteem geaudit om verdere verbeteringen te realiseren. Het toch al zeer goede niveau van onze informatiebeveiliging ontwikkelt zich zo voortdurend."

Feiten, gegevens, cijfers

De Mubea Group of Companies is wereldwijd marktleider op het gebied van de ontwikkeling en productie van complexe auto-onderdelen die leiden tot een vermindering van het gewicht van voertuigen en bijdragen aan een betere bescherming van het milieu door een lagereCO2-uitstoot. Het door de eigenaar geleide familiebedrijf uit Attendorn richt zich op technische innovaties en operationele uitmuntendheid. Het wordt gedreven door de ambitie om op duurzame wijze tot de top 100 van wereldwijde toeleveranciers van de automobielindustrie te behoren.

Het productassortiment omvat chassiscomponenten zoals asveren, stabilisatoren, vezelcomposietveren en stalen precisiebuizen, maar ook motorcomponenten zoals klepveren, automatische riemspansystemen en veerbandklemmen, en ook transmissiecomponenten zoals aandrijfassen en transmissieplaatveren. De dochteronderneming Mubea Flamm ontwikkelt en produceert ook componenten en assemblages voor de ruimtevaart- en huishoudelijke apparatenindustrie.

www.mubea.com/en

Informatiebeveiligingsmanagementsysteem voor informatiebeveiliging in overeenstemming met een internationale norm

De internationaal erkende ISO 27001-norm voor beheersystemen voor informatiebeveiliging (ISMS) is wereldwijd van toepassing. Het biedt organisaties van alle groottes en industrieën een kader voor het plannen, implementeren en bewaken van informatiebeveiliging. Er komt meer bij kijken dan alleen de aspecten van IT-beveiliging. Van bijzonder praktisch belang is de uitvoering van de maatregelen in Annex A van de norm.

De normeisen zijn algemeen toepasbaar en gelden voor particuliere en overheidsbedrijven, alsmede voor instellingen zonder winstoogmerk. Met betrekking tot gegevensbescherming en het veilig en integer omgaan met persoonsgegevens is ISO 27701 een nuttige aanvulling op de norm.

Hoe u kunt profiteren van een ISMS

Door het systematisch opzetten en implementeren van een procesgericht ISMS (information security management system) conform ISO 27001 behalen bedrijven doorslaggevende voordelen, bijvoorbeeld:

  • Bescherming van vertrouwelijke informatie tegen misbruik, verlies en openbaarmaking als integraal onderdeel van de processen van het bedrijf
  • Sensibilisering van werknemers: bedreigingen binnen het bedrijf worden op betrouwbare wijze gedetecteerd en verminderd
  • Naleving van relevante compliance-eisen, meer actie en rechtszekerheid
  • Creëren van vertrouwen bij klanten, zakenpartners en het grote publiek
  • Verhoogd concurrentievermogen
  • Optimalisatie van proces- en IT-kosten

De norm is beschikbaar op de website van ISO:
ISO/IEC 27001:2013 - Informatietechnologie - Beveiligingstechnieken - Beheersystemen voor informatie beveiliging - Eisen

De herziene versie ISO/IEC 27001:2022 is gepubliceerd op 25 oktober 2022. We zullen informatie over de wijzigingen blijven toevoegen zodra deze beschikbaar komt. 

ISO 27001 heeft zojuist een herziening ondergaan. De herziene ISO-norm is in het Engels gepubliceerd op 25.10.2022. Meer informatie over de wijzigingen en deadlines in verband met de herziening vindt u in ons artikel "De nieuwe ISO/IEC 27001:2022".

DQS: Simply leveraging Quality.

DQS is gespecialiseerd in audits en certificeringen voor managementsystemen en -processen. Met de ervaring van meer dan 35 jaar en de expertise van 2.500 auditors is het bedrijf met hoofdkantoor in Frankfurt am Main, Duitsland, een competente partner voor het management. Wij voeren audits uit volgens ongeveer 200 erkende normen en voorschriften of volgens uw bedrijfsspecifieke specificaties - regionaal, nationaal en internationaal.

Onpartijdigheid en objectiviteit zijn voor ons essentiële elementen bij het uitvoeren van audits en certificeringen. En dit geldt niet alleen voor de normatieve gebieden, maar ook voor de uitvoering van alle auditactiviteiten.

Wij helpen u graag als u het managementsysteem voor informatiebeveiliging (ISMS) van uw bedrijf of organisatie wilt laten certificeren.

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

Certificering volgens ISO 27001

Wij laten u zien welke inspanning en kosten u moet verwachten voor een certificering van uw informatiebeveiligingsmanagementsysteem. Laat u gratis en vrijblijvend informeren.

We kijken ernaar uit van u te horen
Auteur
André Saeckel

Productmanager bij DQS voor informatiebeveiligingsmanagement. Als normenexpert op het gebied van informatiebeveiliging en IT-beveiligingscatalogus (kritieke infrastructuren) is André Säckel onder andere verantwoordelijk voor de volgende normen en branchespecifieke normen: ISO 27001, ISIS12, ISO 20000-1, KRITIS en TISAX (informatiebeveiliging in de automobielindustrie). Hij is ook lid van de werkgroep ISO/IEC JTC 1/SC 27/WG 1 als nationaal afgevaardigde van het Duitse normalisatie-instituut DIN.

Hebt u vragen?

Wij zijn er voor u.
Neem contact met ons op