Wie 4way Consulting den Weg zum Erfolg nach ISO 27001 ebnete

4way Consulting bietet spezialisierte Technologieberatung und -unterstützung zur Verbesserung der Sicherheit, Zuverlässigkeit und Zugänglichkeit von Transportdienstleistungen in Großbritannien. Das Unternehmen unterstützt lokale und zentrale Behörden bei der Verwaltung von Verkehrsnetzen durch den Einsatz von Technologie. Das Team von rund 45 Mitarbeitern ist hauptsächlich in Manchester und Birmingham ansässig.

Das Team von 4way Consulting wollte die ISO 27001 für Informationssicherheitsmanagement implementieren, um ihre bestehende ISO 9001 Qualitätsmanagement-Zertifizierung zu ergänzen.

Sie erwogen außerdem die Einführung der ISO 45001 für Arbeitsschutzmanagement, da das Unternehmen bereits über ein Arbeitsschutzmanagementsystem verfügte, dessen Material als Grundlage für die Umsetzung der Konformität dienen konnte. Da das Unternehmen sensible Daten verarbeitete, war die ISO 27001-Zertifizierung unerlässlich, um nachzuweisen, dass 4way Consulting Best Practices im Bereich Informationssicherheit anwendete. Sie benötigten eine Möglichkeit, den Standard strategisch zu implementieren und dabei Zeit und Ressourcen zu sparen.

„Wir mussten den kostengünstigsten und zeitsparendsten Weg zur Zertifizierung finden“, sagte Ian Pengelly, Technischer Direktor für Digitales bei 4way Consulting. Eine Option, die Ian und sein Team in Betracht zogen, war der komplett neue Aufbau ihres Informationssicherheitsmanagementsystems (ISMS). Alternativ konnten sie das SharePoint-basierte System eines Schwesterunternehmens übernehmen. Keine dieser Optionen bot jedoch die angestrebte Effizienz und Zentralisierung.

Das Team von 4way Consulting nutzte die IO-Plattform zur Implementierung von ISO 27001 und ist derzeit dabei, ISO 45001 zu implementieren sowie seine bestehenden ISO 9001-Managementprozesse auf die Plattform zu migrieren. 

Das Team nutzte die 11-stufige Assured Results Method (ARM), um seine ISO 27001-Konformität voranzutreiben, und passte außerdem die vorgefertigten Richtlinien- und Kontrollvorlagen der Plattform an.

Das Unternehmen nutzte außerdem die Risikoregisterfunktion der Plattform, um eine Zusammenfassung der Risiken gemäß ISO 27001, ISO 45001 und ISO 9001 zu erstellen. Dazu wurde innerhalb der IO-Plattform ein neues Cluster eingerichtet und mit den Risikoregistern der jeweiligen Normen verknüpft. So entstand ein konsolidiertes Risikoregister, das nach den Risiken mit der höchsten Punktzahl gefiltert und als unternehmensweites Risikoregister verwendet werden konnte. Dies ermöglichte dem Managementteam eine häufigere Bewertung und Anpassung dieser Risiken.

Die intuitive IO-Plattform unterstützte das Unternehmen auch bei der Verknüpfung von Risiken, Vermögenswerten und Kontrollen und sorgte für Klarheit darüber, wie 4way Consulting Risiken im Einklang mit den Anforderungen der Standards managte.

Darüber hinaus sind das Bewusstsein und das Engagement der Mitarbeiter entscheidend für die fortlaufende Einhaltung der ISO-Normen; 4way Consulting hat seinen Ansatz zum Mitarbeiterlernen auf der Grundlage seiner Richtlinien und Verfahren in der IO-Plattform angepasst.

Sie stellten ihre Dokumentation den Mitarbeitern zur Verfügung, die eine Bestätigung unterzeichneten, dass sie die Dokumente gelesen und verstanden hatten. Gleichzeitig konnten sie Feedback zu Bereichen geben, in denen sie weitere Erläuterungen benötigten. Dadurch konnten sie dieses Feedback protokollieren, die Dokumente aktualisieren und Versionen innerhalb der IO-Plattform nachverfolgen. Dies lieferte weitere Belege für das Engagement der Mitarbeiter und unterstützte ihre Zertifizierung.

Das Unternehmen entwickelt außerdem sein Lernmanagementsystem (LMS) mit interaktiven Videoinhalten, die weiteres Feedback ermöglichen, das Engagement der Mitarbeiter verfolgen und als Nachweis für die Einhaltung der Vorschriften protokolliert werden können.

4way Consulting erreichte die ISO 27001-Zertifizierung in 17 Monaten, obwohl das Team schätzt, dass dies mit mehr Ressourcen etwa 10 Monate gedauert hätte.

Ian berichtet, dass die Benutzerfreundlichkeit der Plattform zu einem optimierten Prüfprozess geführt hat:

ISO-Normen erfordern ständige Verbesserung. Daher konzentriert sich das Team auf die Optimierung seiner ISO-27001-Konformität, führt regelmäßige Risiko- und Kontrollprüfungen durch und bewertet das Risikoregister des Unternehmens. Das IO-Team unterstützt 4way Consulting weiterhin bei der Weiterentwicklung des Informationssicherheitsmanagementsystems (ISMS) von Ian und seinem Team und bereitet sich auf die nächsten Schritte vor: zusätzliche ISO-Zertifizierungen.

Ian und das Team von 4way Consulting setzen die Implementierung von ISO 45001 für das Gesundheits- und Sicherheitsmanagement fort.

Sie migrieren außerdem weiterhin ihr Qualitätsmanagement nach ISO 9001 auf die IO-Plattform. Das Team erstellt zudem mit Unterstützung des Weiterbildungsteams Schulungsvideos, um den Einarbeitungsprozess neuer Mitarbeiter zu unterstützen, das Wissen der bestehenden Mitarbeiter aufrechtzuerhalten und sicherzustellen, dass Lieferanten die Informationssicherheitsanforderungen von 4way Consulting erfüllen.