Das Münchner geva-institut, spezialisiert auf Personal- und Organisationsdiagnostik, hat mit Unterstützung der fly-tech das ISMS CISIS12 eingeführt. So wurde aus einem großen Berg an Arbeit ein für das Institut zukunftsorientierter Baustein in der Datensicherheit.
Wer wissen will, welche Bewerberinnen oder Bewerber zum Unternehmen passen und wie die Mitarbeitenden über die eigene Organisation denken, der ist beim geva-institut in München genau richtig. Seit mehr als 30 Jahren vertrauen Unternehmen und Konzerne aller Größe sowie Kommunen und andere öffentliche Einrichtungen auf die Personal- und Organisationsdiagnostik des geva-instituts mit Sitz in München.
geva-institut aus München: Personal- und Organisationsdiagnostik für alle
Stark ist das geva-institut vor allem in Sachen kundenspezifischem Arbeiten. Ob 5 oder 5.000 Eignungstests im Jahr, ob 100 oder 50.000 befragte Mitarbeitende eines Unternehmens: egal, mit welchen Anforderungen das geva-institut konfrontiert wird: Datensicherheit, Qualität und Zuverlässigkeit stehen immer im Vordergrund.
Datensicherheit für personenbezogene Daten
Um fundierte Analysen, etwa zur Eignung von Menschen für eine ausgeschriebene Stelle erstellen zu können, benötigen die Psychologinnen und Psychologen viele personenbezogene Daten. Selbes trifft zu, wenn das geva-institut in Unternehmen Befragungen zur Mitarbeitendenzufriedenheit durchführt. „Natürlich hatten wir schon viele interne Prozesse und Vorgaben, die den DSGVO-konformen Umgang mit diesen sensiblen Daten sicherstellen“, erzählt Gerhard Bruns, Mitgründer und Geschäftsführer des geva-instituts. „Doch um uns selbst abzusichern und die gestiegen Anforderungen unserer Kundenorganisationen hinsichtlich eines Nachweises der sicheren Datenverarbeitung gerecht zu werden, wollten wir unser Datenmanagement weiter professionalisieren.“
Denn sowohl öffentliche als auch nicht-öffentliche Kundenorganisationen verlangen immer ausführlichere Informationen rund um das Thema Datenschutz und Informationssicherheit. Dies muss zumeist mit dem Ausfüllen vieler Fragebögen mit erheblicher Detailtiefe nachgewiesen werden. Von Dienstleistern wird erwartet, dass diese Themen auch wirklich ernst genommen und im eigenen Betrieb umgesetzt werden. „Mit einem ISMS punkten wir gegenüber Wettbewerbern, die keine organisierte Struktur vorweisen können“, bestätigt Gerhard Bruns.
geva-institut: Datensicherheit ist wichtiger Baustein der Reputation
Zudem sind sich die Verantwortlichen der Konsequenzen einer Datenpanne sehr bewusst: „Hier geht es für uns nicht nur um ein finanzielles Thema, sondern vor allem um unsere Reputation“, betont Gerhard Bruns. Denn auch, wenn er seinen Mitarbeitenden zu 100 Prozent vertraut – ein kleiner Fehler ist schnell passiert, wenn man nicht geschult ist oder das Thema Datensicherheit nicht ernst genug nimmt. „Da reicht ein Klick auf den falschen Link.“ Deswegen ist vor allem auch das regelmäßige Schaffen von Awareness bei den Mitarbeitenden ein entscheidender Punkt.
Um sich in Sachen Datenverarbeitung und Datensicherheit neu zu organisieren, hat sich das geva-institut für ein ISMS (Informationssicherheitsmanagementsystems) entschieden. Wichtig waren den Verantwortlichen eine systematische Herangehensweise und die Möglichkeit, sukzessive im Bereich Informationssicherheit besser zu werden.
Auch deswegen hat sich das geva-institut für die Umsetzung mit CISIS12 entschieden. „Unser Rechenzentrum, in dem unsere Sever gehostet werden und alle unsere Daten liegen, ist bereits nach ISO27001 zertifiziert. Für unseren Institutsbetrieb kam eine Zertifizierung nach ISO 27001 jedoch daher nicht in Frage. Das wäre zu hoch gegriffen“, sagt Gerhard Bruns. „CISIS12 hingegen ist sehr praxis- sowie organisationsorientiert und passt sehr gut zu einem Unternehmen unserer Größe. Zudem nutzen – gerade im öffentlichen Bereich – viele unserer Kundenorganisationen CISIS12 selbst und sind mit diesem ISMS und dessen Anforderungen vertraut.“
CISIS12: In 12 Arbeitspaketen zum ISMS
Außerdem sei der Aufwand im Gegensatz zu anderen ISMS-Methoden überschaubar gewesen. „Die 12 Schritte, die nach und nach abgearbeitet werden können, waren für uns ein wesentliches Entscheidungskriterium“, erinnert sich Stefanie Marinelli, CISIS12-Projektleiterin beim geva-institut.
„Trotzdem stellten wir bald fest: Das ganze Thema ist so umfangreich, dass wir alleine neben dem laufenden Tagesgeschäft wohl nur schwer in die Umsetzung kommen werden“, erinnert sich Stefanie Marinelli. „Uns war zwar von Anfang an klar, dass die Einführung eines ISMS nicht zu unterschätzen ist. Aber mit jedem Tag wurde deutlicher, wie viel Aufwand tatsächlich dahinter steckt“, sagt die Projektleiterin. „Umso wichtiger war uns, einen erfahrenen Umsetzungspartner an unserer Seite zu wissen.“ Denn auch, wenn CISIS12 sehr gut strukturiert ist – an der ein oder anderen Stelle ist es auch erklärungsbedürftig.
ISMS: Förderung mit go-digital
Die Wahl auf die fly-tech als Umsetzungspartner hat sich in jeder Hinsicht als die richtige Entscheidung erwiesen: „Wir wussten, dass die Einführung von CISIS12 im Rahmen des Programms go-digital gefördert werden kann. Wir brauchten also ein Beratungsunternehmen, das für uns den Antrag einreicht. Und die fly-tech war einer der wenigen Anbieter, der diese Anforderung erfüllt hat“, sagt Stefanie Marinelli.
In der Umsetzung dann punktete fly-tech vor allem mit dem engen Austausch, großer Sachkompetenz und der stets guten Erreichbarkeit bei Fragen und Problemen. „Wann immer wir vor einer CISIS12-Hürde standen, konnten wir Christian Köhler anrufen“, sagt Stefanie Marinelli. Denn nicht jeder Schritt bei CISIS12 muss buchstabengetreu umgesetzt werden. Manche Anforderungen passen nicht zum Unternehmensgegenstand und erlauben etwas Interpretationsspielraum – und den kennt ein erfahrener Umsetzungspartner.
Einführung von CISIS12 braucht starke Partner: intern und extern
Denn auch wenn man anfangs erst einmal vor einem riesigen Berg von Anforderungen steht, zeigt sich im Laufe des Prozesses, wie die einzelnen Schritte zusammenhängen und aufeinander aufbauen, erinnert sich Stefanie Marinelli.
Und um diesen Berg an Arbeit zu bewältigen, da ist sich Gerhard Bruns sicher, braucht es auch intern eine durchsetzungsstarke und gut organisierte Projektleitung, die zum einen an der Umsetzung dranbleibt, zum anderen aber auch bei den Kolleginnen und Kollegen die Notwendigkeit zur Umsetzung der vereinbarten Maßnahmen überzeugend vertreten kann. Außerdem ist er überzeugt: Wenn das Thema nicht bei der Geschäftsführung angesiedelt ist, ist es im Betrieb schwer durchsetzbar.
Die Zertifizierung erhielt das geva-institut bereits beim ersten Durchgang. „Doch uns ist klar, dass das Thema ein Prozess ist, der uns jetzt das gesamte Leben unseres Unternehmens begleiten wird“, sagt Stefanie Marinelli abschließend.
Auf einen Blick: Die Einführung von CISIS12 beim geva-institut
Situation
Das geva-institut aus München wollte ihr Datenmanagement mit der Einführung eines ISMS (Informationssicherheitsmanagementsystem) professionalisieren. Außerdem sah es sich gestiegenen Anforderungen seitens der Kundenorganisationen in Sachen Datenschutz & Informationssicherheit gegenüber.
Herausforderung
Es sollte ein ISMS eingeführt werden, dass nicht zu „überladen“ ist und den Anforderungen eines mittelständischen Betriebes gerecht wird.
Lösung
Mit der Einführung von CISIS12 implementierte das geva-institut ein praxis- und organisationsorientiertes ISMS.
Ergebnis
Das geva-institut erhielt bereits beim ersten Anlauf die CISIS12-Zertifizierung und kann nun bei den Kundenorganisationen mit diesem Nachweis schneller und unkomplizierter starten.
Kundenspezifische Anforderungen
- Strukturiertes und schrittweises Vorgehen bei der Einführung
- Gut strukturierter und erfahrener Umsetzungspartner
- Gute Erreichbarkeit und enger Austausch in der Umsetzungsphase
- Möglichkeit, den Förderantrag für das Programm „go-digital“ einzureichen
Sind Sie auch interessiert an einer CISIS12 Einführung ?
Wenn Sie Unterstützung bei der Einführung von CISIS12 durch erfahrene Experten suchen, dann sollten wir uns kennenlernen.
Lust auf …
Einfach digital
arbeiten?
Für Ihre Fragen und Anliegen rund um Informationssicherheit & Datenschutz steht Ihnen gerne unser Experte Christian Köhler zur Verfügung.
Christian Köhler
Leiter Consulting Informationssicherheit & Datenschutz
(0821) 207 111 – 16
cloudheroes@fly-tech.de