Wie Utonomy mit ISMS.online erstmals ISO 27001 erreichte

Die Herausforderung

Das Unternehmen beliefert Kunden, die für die nationale Infrastruktur von entscheidender Bedeutung sind und strengen gesetzlichen Anforderungen unterliegen. Daher war dem Team von Utonomy klar, dass die ISO 27001-Zertifizierung ein Muss war, um Kunden, Stakeholdern und Interessenten bei Ausschreibungen die proaktive Haltung des Unternehmens in Sachen Informationssicherheit zu demonstrieren.

Aufgrund der Arbeit, die das Team geleistet hatte, um die Cyber ​​Essentials-Zertifizierung zu erhalten, verfügte Utonomy bereits über ein grundlegendes Informationssicherheits-Managementsystem (ISMS). Sie wussten jedoch, dass das Unternehmen ein umfassenderes ISMS benötigte, um die ISO 27001-Zertifizierung erfolgreich zu erreichen. Das Unternehmen benötigte eine Plattform, um die Implementierung und fortlaufende Einhaltung von ISO 27001 so einfach wie möglich zu gestalten.

„Wir erkannten, dass wir ISO 27001 für unsere Beziehungen zu unseren Kunden brauchen würden; die Branche wurde sich der Sicherheit immer bewusster. Wir hatten schon ziemlich viel Arbeit in Cyber ​​Essentials gesteckt, aber wir dachten: ‚Wir müssen unsere Leistung steigern.‘“

Steve Lewis CTO und CISO, Utonomy

Die Lösung

Utonomy entschied sich für die ISMS.online-Plattform zur Einhaltung und Zertifizierung von ISO 27001 und hat alle ISO 27001-Richtlinien, Tracker und Nachweise unter einem Dach zusammengestellt. Steve und sein Team nutzten die vorgefertigten Richtlinienvorlagen der Plattform als Ausgangspunkt und erweiterten diese, um sie an die spezifischen Sicherheitsziele von Utonomy anzupassen. Außerdem stellten sie sicher, dass sie umfassende Kenntnisse über die Richtlinien und Kontrollen hatten, aus denen das ISMS der Organisation besteht.

„Wir haben viele Funktionen in den Trackern integriert, weil sie einfach zu bedienen sind“, sagte Steve Lewis, CTO von Utonomy und CISCO. „Das bedeutet, dass die Mitarbeiter, die Sicherheitsvorfälle verfolgen müssen, dies wahrscheinlich nicht woanders tun, etwa in einem Notizbuch oder in einem unserer anderen Systeme. Das vereinfacht die Verwaltung und Prüfung.“

Das Unternehmen migrierte die Produktrisikodokumentation in ISMS.online, um Produktbedrohungen und -kontrollen innerhalb der Plattform mithilfe des Risikoregisters und der Risikoverfolgung proaktiv zu verwalten. Mit der Funktion „Verknüpfte Arbeit“ hat Utonomy über 60 Risiken und zugehörige Kontrollen abgebildet und kann nun Produktrisiken problemlos überwachen und verwalten, anstatt die Dokumentation manuell zu aktualisieren.

„In dieser neuen Form wird es viel einfacher sein, Updates durchzuführen, wenn wir neue Produktfunktionen oder Produktänderungen einführen. Es wird eine weniger mühsame und entmutigende Aufgabe sein, die Dinge durchzuarbeiten, die wir ändern müssen.“

„Die Vorlagen gaben uns eine Struktur und waren eine lehrreiche Möglichkeit, eine akzeptable Beschreibung eines Prozesses zu finden. Denn wenn man unvorbereitet reinkommt, ist es immer schwierig zu wissen, wie weit man mit der Dokumentation gehen muss.“

Steve Lewis CTO und CISO, Utonomy

Das Ergebnis

Utonomy erhielt innerhalb eines Jahres zum ersten Mal die ISO 27001-Zertifizierung und hat zwei Überwachungsaudits erfolgreich bestanden, was das Engagement des Teams zur kontinuierlichen Verbesserung der Sicherheitslage des Unternehmens unterstreicht.

Das Utonomy-Team hat nun begonnen, neue Möglichkeiten zu erkunden, ISMS.online für eine effizientere Einhaltung von Vorschriften zu nutzen. Beispielsweise nutzt das Unternehmen die Funktion „Richtlinienpakete“, um das Sicherheitsbewusstsein und die Schulung der Mitarbeiter zu fördern und zu überwachen. Utonomy verwendet diese Richtlinienpakete dann als Nachweis dafür, dass alle Mitarbeiter im Unternehmen die erforderlichen Schulungen abgeschlossen haben, da das Richtlinienpaket anzeigt, wann ein Mitarbeiter die Schulungsaktivität abgehakt hat.

Steve war von ihrer Erfahrung begeistert: „Ich bin mit der ISMS.online-Plattform sehr zufrieden. Sie hat gehalten, was sie versprach, und hat uns definitiv dabei geholfen, unsere ISO 27001-Zertifizierung auf Anhieb zu erhalten.“

Das Unternehmen besprach außerdem mit dem Supportteam von ISMS.online eine zusätzliche maßgeschneiderte Funktion zur Unterstützung der Bedrohungsmodellierungsfunktionen des Unternehmens und implementierte diese Funktionen, als der ISMS.online-Support sie innerhalb kurzer Zeit bereitstellte.

„Der technische Support von ISMS.online ist unübertroffen. Die Mitarbeiter des First-Line-Supports kennen sich bestens mit dem Produkt aus und sind äußerst hilfsbereit. Beeindruckenderweise haben sie hinter den Kulissen gearbeitet, um mir zu helfen und mein Problem innerhalb weniger Tage zu lösen, wenn ich etwas tun musste, was das Produkt technisch nicht unterstützt.“

Steve Lewis CTO und CISO, Utonomy

Durch Innovationen mit der ISMS.online-Plattform und die Einhaltung der ISO 27001-Vorgaben stellt Utonomy gegenüber externen Prüfern weiterhin seine starke Sicherheitsposition unter Beweis und positioniert sich als vertrauenswürdiger Lieferant für seine Kunden im Bereich kritischer nationaler Infrastrukturen.

Hohes Lob erhielt Utonomy auch von einem unabhängigen Berater, der die Sicherheitsmaßnahmen des Unternehmens im Rahmen eines Pilotprogramms für Sicherheit bei Startup-Innovationen überprüfte. Indem Utonomy ihm einen begrenzten Zugriff auf das ISO 27001-Projekt in ISMS.online gewährte, erhielt das Unternehmen ein äußerst positives Zeugnis.

Was kommt als Nächstes?

Nach dem erfolgreichen Abschluss des Überwachungsaudits nach ISO 27001:2013 bereitet Utonomy die Aktualisierung auf die neueste Version von ISO 27001 vor, die Iteration 2022 des Standards.

Steve und sein Team gleichen außerdem die Produkt- und ISMS-Kontrollen des Unternehmens mit dem Cyber ​​Assessment Framework des National Cybersecurity Centre ab. Das Team kann dann vorgefertigte Inhalte erstellen, die Kunden dabei helfen, Risikobewertungen rund um Utonomy als Lieferant durchzuführen und zu zeigen, wie das Produkt mit dem Framework übereinstimmt.