Case Study: Novem Car Interior Design GmbH – akkreditierte Informationssicherheit nach ISO 27001

• Home
• Magazin
• Know How
• IT-Security Projekte

Novem Car InteriorDesign GmbH ist ein global agierender Anbieter qualitativ hochwertiger Zierteile und dekorativer Funktionselemente im Fahrzeuginnenraum. Der Automobilzulieferer mit Sitz in Vorbach/Oberpfalz in Bayern ist Weltmarktführer im Bereich Holzdekore für Fahrzeuginnenräume und der führende Komplettanbieter für alle Dekorteile in automobilen Interieurs.

Weltweit beschäftigt Novem ca. 3700 Mitarbeiter an 11 Standorten und entwickelt und produziert Novem Dekorteile als zuverlässiger Partner der Automobilindustrie. Neben der bewährten Verarbeitung von Edelhölzern etabliert Novem innovative Oberflächen wie Kunststoff, Aluminium, Carbon und Drahtgewebe und ist somit Komplettanbieter. Hochverfügbare und integre Logistikprozesse Just-in-Time (JIT) ist ein produktionstechnisches Konzept, bei dem die Komponenten zum richtigen Zeitpunkt angeliefert werden und direkt, also ohne Zwischenlagerung, in die Montage einfließen.

Just-in-Sequence (JIS) ist eine Weiterentwicklung des JIT-Gedankens und wird vor allem in der Automobilindustrie eingesetzt. Hier sorgt der Zulieferer nicht nur dafür, dass die benötigten Module rechtzeitig in der notwendigen Menge angeliefert werden, sondern auch, dass die Reihenfolge (Sequence) der benötigten Module stimmt.

Just-in-Time und Just-in-Sequence sind Prinzipien, die von den Produktions und Logistikprozessen im Unternehmen und der unterstützenden IT ein hohes Maß an Flexibilität und gleichzeitig Kontinuität fordern. Zusätzlich kommt dem Schutz der Integrität von Daten zur Prozesssteuerung eine große Bedeutung zu. Die betreffenden Netzwerkbereiche müssen vor unautorisierten Manipulationen und Systemausfällen geschützt werden, um Kunden die vereinbarte Liefersicherheit zu gewähren.

Sicherheit für sensible Kundendaten

Als Zulieferer und Systemlieferant ist Novem schon in frühen Entwicklungsphasen neuer Fahrzeugmodelle bei allen führenden Automobilherstellern integriert. Der vertrauliche Umgang mit den sensiblen Konstruktionsinformationen ihrer Kunden muss durchgängig gewährleistet sein, um sich langfristig das Kundenvertrauen zu bewahren.

Informationssicherheit ist immer als Kette zu betrachten; sie zerbricht am schwächsten Glied. Sie ist daher mehr als eine technische Lösung für ihre Infrastruktur. Die Informationssicherheit durchzieht alle Geschäftsprozesse und muss daher ganzheitlich betrachtet, d.h. gemanagt werden. Zum Aufbau und zur Erhaltung des Kundenvertrauens ist ein Managementsystem zur Steuerung des vertraulichen Umgangs mit diesen Informationen von größter Wichtigkeit. Jeder Mitarbeiter der Novem muss sich daher der Notwendigkeit der Informationssicherheit bewusst sein und entsprechend handeln.

Transparenz und Kundenvertrauen

durch ISO 27001-Zertifizierung Der ISO 27001 Standard befasst sich mit der Implementierung und der Aufrechterhaltung eines ISMS (Information Security Management System) in Unternehmen und gilt daher als bewährtes Instrument zur Gewährleistung einer ganzheitlichen und effizienten Informationssicherheit. Die ISO 27001-Zertifizierung schafft Transparenz indem Kunden und Partnern der Novem die Sicherheit und Qualität Ihrer IT-basierten Geschäftsprozesse beglaubigt wird.

Damit reduziert sich die Planungsunsicherheit von Kunden und Partnern der Novem und deren Vertrauen in die Einhaltung der vereinbarten Leistungserbringung steigt. Vorgehensweise und Lösung Die Implementierung eines ISMS nach ISO 27001 umfasst neben der Einführung technischer und physischer Absicherungsmaßnahmen zum größten Teil die Lösung von organisatorischen Herausforderungen. Die Experten der Secaron AG unterstützten die Novem von der Konzeption bis zur Realisierung des ISMS in allen Bereichen:

• Durchführung von Kick-Off-Workshops zur Projektplanung mit dem Management und weiteren Beteiligten
• Ableitung der Leitziele der Informationssicherheit aus den Geschäftszielen und Definition der Sicherheitsleitlinie
• Aufbau einer Sicherheitsorganisation und Definition des Berichtswesens
• Durchführung einer Risikoanalyse über alle IT-gestützten Geschäftsprozesse, Identifikation der wichtigsten Handlungsfelder und zugehörige Kennzahlen
• Etablierung eines Risikomanagements für die Informationssicherheit
• Überprüfung des bestehenden organisatorischen, physischen, und technischen Sicherheitsniveaus inklusive Penetrationstest
• Erstellung der Dokumentation für die Informationssicherheit wie Sicherheitsrichtlinien, Berechtigungskonzepte, Prozesskonzepte (z. B. Business Continuity und Desaster Recovery Pläne, SAP-Berechtigungskonzepte) und technische Sicherheitskonzepte
• Qualifikation des Sicherheitsteams und Durchführung eines Programm zur Sensibilisierung der Mitarbeiter
• Unterstützung bei der Umsetzung technischer und physischer Absicherungsmaßnahmen (z. B. SAP Security, Zertifikatsbasierte Authentisierung mit 802.1X, Festplattenverschlüsselung)
• Evaluierung der durchgeführten Veränderungen z. B. anhand weiterer Penetrationstests und Interviews Nachdem der PDCA-Zyklus des gesamten ISMS mindestens 1 x vollständig durchlaufen wurde und die prozessualen Veränderungen in das „Daily-Business“ adaptiert wurden, erfolgten die Vorbereitungsworkshops für das Audit und die Anmeldung zum Audit der Akkreditierungsstelle.

Auditprozess und Projektergebnis

Der Auditprozess verlief in folgenden Schritten:

• Potentialgespräch
• Vor-Audit
• Sichtung der Dokumente
• Korrektur festgestellter Mängel
• Zertifizierungs-Audit

Als Vermittler zwischen der Akkreditierungsinstanz und der Novem unterstützten die Experten der Secaron AG im Auditprozess beim Potentialgespräch und beim Vor-Audit.

Das gesamte ISO 27001 Projekt und der Auditprozess verlief nach der Meinung aller Beteiligten sehr erfolgreich. Die Experten der Secaron AG möchten sich auf diesem Wege nochmals für die offene, kooperative und enge Zusammenarbeit bedanken.

Kommentare

Bitte beachten Sie unsere Informationen zum Datenschutz.

Weitere Artikel zum Thema