datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Företagens informationssäkerhet: En fallstudie av Mubea-koncernen

André Saeckel

DQS Standard Expert for Information Security
dec. 06 , 2022
# Informationssäkerhet i en organisation

I dag ger solid informationssäkerhet företagen betydligt fler fördelar än att bara säkra den tekniska infrastrukturen. Hela affärsprocesser är nu i hög grad beroende av den - oavsett om det gäller säker hantering av känsliga uppgifter eller laglig behandling av dessa. Därför omfattar begreppet numera skyddet av hela informationsflödet. Fordonsleverantören Mubea lyckades standardisera informationssäkerheten i tio europeiska länder genom sin DQS-certifiering enligt ISO 27001, vilket innebär att de placerar sig väl i konkurrensen. Potentiella IT-risker och hanteringen av konfidentiell information granskades noggrant och förbättrades och utvecklades kontinuerligt.

INNEHÅLL

Informationssäkerhet i tio länder ger konkurrensfördelar

Globaliseringen ställer många företag inför enorma utmaningar när det gäller informationssäkerhet. Infrastrukturen och de rättsliga bestämmelserna skiljer sig i vissa fall massivt åt i de enskilda länderna. Icke desto mindre är globalt verksamma företag skyldiga att avslöja sårbarheter överallt och införa lämpliga skyddsåtgärder. Detta beror på att digitaliseringen av affärsprocesser över nationsgränserna kräver en jämförbar nivå av IT-säkerhet från alla inblandade parter, som måste garanteras i hela värdekedjan.

Även inom bilindustrin blir säkerheten för data och information som kräver skydd allt viktigare när det gäller internationellt samarbete mellan olika platser, dotterbolag eller tjänsteleverantörer. Fordonsleverantören Mubea stod inför det stora hindret att vilja höja IT-säkerheten till samma nivå i tio länder med totalt 20 dotterbolag.

Företagens informationssäkerhet - en fördel som kunderna uppmärksammar

För flera år sedan började specialisten på lättbyggnad för karosseri, chassi och drivlina att titta närmare på informationssäkerhet: "Våra kunder förankrade ämnet alltmer i sina inköpsvillkor. Och för att behålla en bra position bland konkurrenterna ville vi agera snabbt", rapporterar Christiane Habbel, chef för IT - Informationssäkerhet och efterlevnad på företaget. Men det var inte det enda skälet: "Vi strävar efter att ständigt förbättra vårt ledningssystem för informationssäkerhet och att medvetandegöra våra anställda om ämnet. Så 2017 bestämde vi oss för att låta genomföra en certifiering i enlighet med den erkända standarden ISO 27001. Detta hjälper oss enormt i denna strävan", säger Habbel.

ISO 27001 - Certifiering ger fördelar

ISO 27001 är en internationell standard för informationssäkerhet för privata, offentliga eller ideella organisationer. Standarden beskriver kraven för att upprätta, genomföra, driva och optimera ett dokumenterat ledningssystem för informationssäkerhet (ISMS). Certifieringen anpassas alltid till omständigheterna i respektive företag och tar hänsyn till individuella särdrag.

Förutom ämnet informationssäkerhet är standarden särskilt inriktad på analys och hantering av tillhörande risker. För företagen erbjuder den således ett systematiskt strukturerat tillvägagångssätt för att skydda integriteten och sekretessen hos verksamhetsdata. Samtidigt säkerställer den tillgängligheten hos de IT-system som är involverade i företagets processer. Certifikat enligt den globalt erkända standarden är i allmänhet giltiga i tre år. I syfte att kontinuerligt förbättra och säkerställa förvaltningssystemets fortlöpande effektivitet genomförs dock en övervakningsrevision årligen.

TISAX® - Bedömningar för fordonssektorn

Det stämmer att TISAX® (Trusted Information Security AssessmentExchange), en standard för informationssäkerhet som definierats av fordonsindustrin, har funnits sedan 2017 och är därmed ytterligare ett certifieringsalternativ som många fordonstillverkare och leverantörer numera kräver av sina affärspartner. TISAX® är dock en europeisk standard för branschen och ännu inte etablerad globalt.

"Det gick inte tillräckligt långt för oss", minns Habbel. Därför valde det Attendorn-baserade företaget ursprungligen ISO 27001-certifiering för att få en konkurrensfördel när det gäller informationssäkerhet.

Dubbel certifiering av DQS

Med detta beslut i åtanke började Mubea leta efter en lämplig partner och bestämde sig utan vidare för DQS.

habbel-christiane-quelle-mubea

Vi stötte relativt snabbt på DQS under vår forskning och konstaterade vid ett första möte att vi passade mycket bra ihop.

Christiane Habbel IT-chef - informationssäkerhet och efterlevnad på Mubea

I detta syfte undersökte DQS-revisorerna först hur systemet för hantering av informationssäkerhet (ISMS) fungerar på plats. För ISMS-certifiering var Mubea dessutom tvunget att visa att de grundläggande värdena för informationssäkerhet samverkar på ett framgångsrikt sätt: Konfidentialitet, integritet och tillgänglighet. Potentiella IT-risker eller processer som äventyrar informationssäkerheten listades och optimerades i detta sammanhang. "Samarbetet med DQS var mycket praktiskt och kundorienterat. Vi hade stor nytta av revisorernas djupa branschkunskap, som stödde oss i alla avseenden", säger Habbel. "Detta gäller både för ISO 27001- och TISAX®-certifiering."

Informationssäkerhet för företag i hela Europa

Med hjälp av DQS har Mubea dock inte bara lyckats optimera säkerheten för känsliga uppgifter och information på huvudkontoret. Med hjälp av DQS har företaget också höjt 20 dotterbolag på tio platser i Europa till en ny säkerhetsnivå och upprättat en gemensam säkerhetsstandard.

Mubea kan nu på ett tillförlitligt sätt dokumentera sin egen informationssäkerhet för kunder och partner med de två certifikaten. Detta ger fordonsleverantören en konkurrensfördel på marknaden, konstaterar Habbel: "Med ISO 27001 har vi inte bara infört en hög säkerhetsstandard i företaget i hela Europa. Vi skyddar oss också mot cyberattacker utifrån och har kunnat medvetandegöra våra anställda om säkerheten för våra konfidentiella företagstillgångar. Informationssäkerhet är nämligen mycket mer än bara IT-säkerhet. Nu står vi dock inte stilla. Viktiga delar av vårt ledningssystem granskas årligen för att uppnå ytterligare förbättringar. Den redan mycket goda nivån på vår informationssäkerhet utvecklas alltså kontinuerligt."

Fakta, data, siffror

Mubea Group of Companies är världsledande när det gäller utveckling och produktion av komplexa fordonskomponenter som leder till en minskning av fordonens vikt och bidrar till ett förbättrat miljöskydd genom minskadekoldioxidutsläpp. Det ägarledda familjeföretaget från Attendorn fokuserar på tekniska innovationer och operativ excellens. Det drivs av ambitionen att på ett hållbart sätt vara bland de 100 främsta globala fordonsleverantörerna.

Produktsortimentet omfattar chassikomponenter som axelfjädrar, stabilisatorer, fiberkompositfjädrar och precisionsstålrör, samt motorkomponenter som ventilfjädrar, automatiska remspänningssystem och fjäderbandsklämmor, och även transmissionskomponenter som drivaxlar och transmissionsplattfjädrar. Dotterbolaget Mubea Flamm utvecklar och tillverkar också komponenter och enheter för flygindustrin och hushållsapparatindustrin.

www.mubea.com/en

Ledningssystem för informationssäkerhet i enlighet med en internationell standard.

Den internationellt erkända standarden ISO 27001 för ledningssystem för informationssäkerhet (ISMS) gäller över hela världen. Den ger organisationer av alla storlekar och branscher en ram för planering, genomförande och övervakning av informationssäkerhet. Det finns mer än bara aspekter av IT-säkerhet. Av särskilt praktiskt värde är genomförandet av åtgärderna i bilaga A till standarden.

Standardens krav är allmänt tillämpliga och gäller för privata och offentliga företag samt ideella institutioner. När det gäller dataskydd och säker hantering av personuppgifter med integritet är ISO 27701 ett användbart tillägg till standarden.

Hur du kan dra nytta av ett ISMS

Genom att systematiskt inrätta och genomföra ett processorienterat ISMS (informationssäkerhetshanteringssystem) i enlighet med ISO 27001 uppnår företagen avgörande fördelar, t.ex:

  • Skydd av konfidentiell information mot missbruk, förlust och avslöjande som en integrerad del av företagets processer.
  • Sensibilisering av de anställda: hoten inom företaget upptäcks och minskas på ett tillförlitligt sätt.
  • Följsamhet till relevanta krav på efterlevnad, fler åtgärder och rättssäkerhet.
  • Skapande av förtroende hos kunder, affärspartner och allmänheten.
  • Ökad konkurrenskraft.
  • Optimering av process- och IT-kostnader

Standarden finns tillgänglig på ISO-webbplats:
ISO/IEC 27001:2013 - Informationsteknik - Säkerhetsteknik - Ledningssystem för informationssäkerhet - Krav .

DQS: Simply leveraging Quality.

DQS specialiserar sig på revisioner och certifieringar av ledningssystem och processer. Med mer än 35 års erfarenhet och 2 500 revisorer är företaget med huvudkontor i Frankfurt am Main, Tyskland, en kompetent partner för ledningen. Vi reviderar enligt cirka 200 erkända standarder och föreskrifter eller enligt dina företagsspecifika specifikationer - regionalt, nationellt och internationellt.

Opartiskhet och objektivitet är viktiga element för oss när vi utför revisioner och certifieringar. Och detta gäller inte bara de normativa områdena utan även utförandet av all revisionsverksamhet.

Vi hjälper dig gärna om du vill få ditt företags eller din organisations ledningssystem för informationssäkerhet (ISMS) certifierat.

iso 27001-annex-a-dqs-mitarbeiterin schaut auf laptop in it umgebung

Certifiering enligt ISO 27001

Vi visar dig vilken insats och vilka kostnader du kan förvänta dig för en certifiering av ditt ledningssystem för informationssäkerhet. Få information kostnadsfritt och utan förpliktelser.

Wir freuen uns auf das Gespräch mit Ihnen.
Författare
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Några frågor?

Vi finns här för dig.
Kontakta oss