09/07/2021 | Жизнь, обучение и сертификация
Использование систем безопасности управления информацией (ISMS) сегодня является основным элементом корпоративных стратегий в области кибербезопасности и других вопросов безопасности. Именно поэтому все больше подразделений Siemens AG выбирают международный стандарт ISO/IEC 27001. Департамент корпоративного управления компании поручил TÜV TRUST IT запустить систему ISMS на основе ISO/IEC 27001 как важнейшую основу информационной безопасности в концерне Siemens.
SIEMENS AG — ведущая мировая компания, занимающая ведущие позиции в цепочке создания стоимости электрификации — от преобразования, распределения и использования энергии до медицинской визуализации и in-vitro диагностики. Компания работает по всему миру, ее штат насчитывает более 370 000 сотрудников, а доход от продаж в 2017 финансовом году составил около € 83 млрд. Для реализации своих стратегий безопасности Siemens, при необходимости, пользуется услугами внешних экспертов. Именно так поступил департамент корпоративного управления концерна, когда потребовалась помощь в повышении зрелости процессов СУИБ на основе ISO 27001:2013 в рамках подготовки к сертификации. В июне 2017 года Siemens принял решение в пользу TÜV TRUST IT в качестве внешнего партнера.
Исходная ситуация
Целью проекта было создание СУИБ в отделе корпоративного управления, одном из ключевых департаментов концерна. Особое внимание должно было быть уделено отдельным подпроцессам ISMS — контролю документов, аудиту и управлению рисками. Они должны были быть разработаны таким образом, чтобы их можно было использовать независимо от департамента, который необходимо защитить. Сложность добавляло еще одно фундаментальное требование.
Поскольку компания Siemens имеет различные области применения своих услуг, каждая из которых должна быть защищена посредством проверяемого внедрения системы управления информационной безопасностью, сертифицированная СУИБ должна была быть создана в центральном департаменте, из которого должны были распространяться сертифицированные подпроцессы. Подпроцессы должны были быть отображены таким образом, чтобы их персонализация требовалась только запрашивающим бизнес-подразделениям.
Подход
В рамках внутреннего предварительного проекта в различных организационных областях Группы уже были проведены инвентаризация и анализ пробелов в СУИБ. Они включали выявление и фактическую оценку несоответствий между существующим статусом СУИБ и статусом, который может быть сертифицирован в соответствии с ISO/IEC 27001:2013. Эти выводы были учтены при дальнейшем развитии СУИБ.
После детального исследования и оценки внутренних процессов информационной безопасности они были консолидированы и структурированы с использованием шаблонов документов, входящих в структуру СУИБ TÜV TRUST IT.
В тесном сотрудничестве с руководителями проекта Siemens были разработаны и опубликованы недостающие соответствующие методики и подтверждения. В результате была разработана внутренняя структура ISMS, которая была распространена по всему концерну, чтобы лучше соответствовать требованиям предстоящей сертификации.
Структурированная работа и творческое использование структуры СУИБ TÜV TRUST IT позволили завершить проект в течение четырех месяцев и успешно сертифицировать СУИБ, созданную в департаменте корпоративного управления, в аккредитованном сертификационном органе.
Преимущества