Wie Utonomy mit ISMS.online erstmals ISO 27001 erreichte

Öl & Energie

Erreichen von ISO 27001

Mittelstand

Utonomy wurde gegründet, um ein spezifisches Problem zu lösen: Gasnetzbetreibern dabei zu helfen, Methanlecks durch Druckmanagement zu reduzieren. Das Unternehmen hat eine innovative Technologie entwickelt, die den Druck in Gasverteilungsnetzen automatisch optimiert und dabei saisonale und tägliche Bedarfsschwankungen berücksichtigt, um Lecks deutlich zu reduzieren.

Die Herausforderung

Das Unternehmen beliefert Kunden, die für die nationale Infrastruktur von entscheidender Bedeutung sind und strengen gesetzlichen Anforderungen unterliegen. Daher war dem Team von Utonomy klar, dass die ISO 27001-Zertifizierung ein Muss war, um Kunden, Stakeholdern und Interessenten bei Ausschreibungen die proaktive Haltung des Unternehmens in Sachen Informationssicherheit zu demonstrieren.

Aufgrund der Arbeit, die das Team geleistet hatte, um die Cyber Essentials-Zertifizierung zu erhalten, verfügte Utonomy bereits über ein grundlegendes Informationssicherheits-Managementsystem (ISMS). Sie wussten jedoch, dass das Unternehmen ein umfassenderes ISMS benötigte, um die ISO 27001-Zertifizierung erfolgreich zu erreichen. Das Unternehmen benötigte eine Plattform, um die Implementierung und fortlaufende Einhaltung von ISO 27001 so einfach wie möglich zu gestalten.

„Wir erkannten, dass wir ISO 27001 für unsere Beziehungen zu unseren Kunden brauchen würden; die Branche wurde sich der Sicherheit immer bewusster. Wir hatten schon ziemlich viel Arbeit in Cyber Essentials gesteckt, aber wir dachten: ‚Wir müssen unsere Leistung steigern.‘“
Steve Lewis, Chief Technology Officer und Chief Information Security Officer bei Utonomy

Die Lösung

„Wir haben eine Menge Zeug in den Trackern, weil sie einfach zu verwenden sind. Das bedeutet, dass die Leute, die [Sicherheitsvorfälle verfolgen] müssen, dies wahrscheinlich nicht woanders tun, beispielsweise in Form einer Notiz in einem Buch oder in einem unserer anderen Systeme. Und das macht es einfacher zu verwalten und zu prüfen.“
Steve Lewis, Chief Technology Officer und Chief Information Security Officer bei Utonomy

Utonomy entschied sich für die ISMS.online-Plattform zur Einhaltung und Zertifizierung von ISO 27001 und hat alle ISO 27001-Richtlinien, Tracker und Nachweise unter einem Dach zusammengestellt. Steve und sein Team nutzten die vorgefertigten Richtlinienvorlagen der Plattform als Ausgangspunkt und erweiterten diese, um sie an die spezifischen Sicherheitsziele von Utonomy anzupassen. Außerdem stellten sie sicher, dass sie umfassende Kenntnisse über die Richtlinien und Kontrollen hatten, aus denen das ISMS der Organisation besteht.

„Die Vorlagen gaben uns eine Struktur und waren eine lehrreiche Möglichkeit, eine akzeptable Beschreibung eines Prozesses zu finden. Denn wenn man unvorbereitet reinkommt, ist es immer schwierig zu wissen, wie weit man mit der Dokumentation gehen muss.“
Steve Lewis, Chief Technology Officer und Chief Information Security Officer bei Utonomy

Das Unternehmen migrierte die Produktrisikodokumentation in ISMS.online, um Produktbedrohungen und -kontrollen innerhalb der Plattform mithilfe des Risikoregisters und der Risikoverfolgung proaktiv zu verwalten. Mit der Funktion „Verknüpfte Arbeit“ hat Utonomy über 60 Risiken und zugehörige Kontrollen abgebildet und kann nun Produktrisiken problemlos überwachen und verwalten, anstatt die Dokumentation manuell zu aktualisieren.

„In dieser neuen Form wird es viel einfacher sein, Updates durchzuführen, wenn wir neue Produktfunktionen oder Produktänderungen einführen. Es wird eine weniger mühsame und entmutigende Aufgabe sein, die Dinge durchzuarbeiten, die wir ändern müssen.“
Steve Lewis, Chief Technology Officer und Chief Information Security Officer bei Utonomy

Basierend

Großbritannien

Firmengröße

50-199 Mitarbeiter

Branche

Versorgungsunternehmen

Compliance-Frameworks

ISO 27001

Utonomy bietet Technologie zur automatischen Überwachung und Steuerung von Gasverteilungsnetzen, um diese durch Druckoptimierung effizienter und nachhaltiger zu machen.

ISO 27001-Erfolg

Erstmals ISO 27001-Zertifizierung erhalten und Kerngeschäftsziele erreicht

Optimierter Prozess

Einführung eines zentralen ISMS zur Sicherung und Verwaltung aller Informationen an einem Ort

Innovatives Infosec-Management

Nutzung von Risikorahmen zur Verwaltung von Produktrisiken und Richtlinienpaketen zur Verbesserung der Mitarbeiterschulung

Das Ergebnis

„Ich bin mit der ISMS.online-Plattform sehr zufrieden. Sie hat gehalten, was sie versprach, und uns definitiv dabei geholfen, unsere ISO 27001-Zertifizierung auf Anhieb zu erhalten.“

Steve Lewis, Chief Technology Officer und Chief Information Security Officer bei Utonomy

Utonomy erhielt innerhalb eines Jahres zum ersten Mal die ISO 27001-Zertifizierung und hat zwei Überwachungsaudits erfolgreich bestanden, was das Engagement des Teams zur kontinuierlichen Verbesserung der Sicherheitslage des Unternehmens unterstreicht.

„Die Hauptabsicht war: Kann dies unseren Aufwand minimieren, um ISO 27001 zu erreichen? Und ich denke, das stimmt, und unsere Prüfer mögen [die Plattform].“

Steve Lewis, Chief Technology Officer und Chief Information Security Officer bei Utonomy

Das Utonomy-Team hat nun begonnen, neue Möglichkeiten zu erkunden, ISMS.online für eine effizientere Einhaltung von Vorschriften zu nutzen. Beispielsweise nutzt das Unternehmen die Funktion „Richtlinienpakete“, um das Sicherheitsbewusstsein und die Schulung der Mitarbeiter zu fördern und zu überwachen. Utonomy verwendet diese Richtlinienpakete dann als Nachweis dafür, dass alle Mitarbeiter im Unternehmen die erforderlichen Schulungen abgeschlossen haben, da das Richtlinienpaket anzeigt, wann ein Mitarbeiter die Schulungsaktivität abgehakt hat.

Das Unternehmen besprach außerdem mit dem Supportteam von ISMS.online eine zusätzliche maßgeschneiderte Funktion zur Unterstützung der Bedrohungsmodellierungsfunktionen des Unternehmens und implementierte diese Funktionen, als der ISMS.online-Support sie innerhalb kurzer Zeit bereitstellte.

„Der technische Support von ISMS.online ist unübertroffen. Die Mitarbeiter des First-Line-Supports kennen sich bestens mit dem Produkt aus und sind äußerst hilfsbereit. Beeindruckenderweise haben sie hinter den Kulissen gearbeitet, um mir zu helfen und mein Problem innerhalb weniger Tage zu lösen, wenn ich etwas tun musste, was das Produkt technisch nicht unterstützt.“

Steve Lewis, Chief Technology Officer und Chief Information Security Officer bei Utonomy

Durch Innovationen mit der ISMS.online-Plattform und die Einhaltung der ISO 27001-Vorgaben stellt Utonomy gegenüber externen Prüfern weiterhin seine starke Sicherheitsposition unter Beweis und positioniert sich als vertrauenswürdiger Lieferant für seine Kunden im Bereich kritischer nationaler Infrastrukturen.

Hohes Lob erhielt Utonomy auch von einem unabhängigen Berater, der die Sicherheitsmaßnahmen des Unternehmens im Rahmen eines Pilotprogramms für Sicherheit bei Startup-Innovationen überprüfte. Indem Utonomy ihm einen begrenzten Zugriff auf das ISO 27001-Projekt in ISMS.online gewährte, erhielt das Unternehmen ein äußerst positives Zeugnis.

Struktur & Organisation

Nach dem erfolgreichen Abschluss des Überwachungsaudits nach ISO 27001:2013 bereitet Utonomy die Aktualisierung auf die neueste Version von ISO 27001 vor, die Iteration 2022 des Standards.

Steve und sein Team gleichen außerdem die Produkt- und ISMS-Kontrollen des Unternehmens mit dem Cyber Assessment Framework des National Cybersecurity Centre ab. Das Team kann dann vorgefertigte Inhalte erstellen, die Kunden dabei helfen, Risikobewertungen rund um Utonomy als Lieferant durchzuführen und zu zeigen, wie das Produkt mit dem Framework übereinstimmt.