Auf Basis der Prüfhandlungen und Ergebnisse von HiSolutions wurde das bestehende ISMS von DEW21 weiterentwickelt und optimiert, um eine angemessene Compliance zu den Standards herzustellen. Ferner konnten die von HiSolutions erbrachten Nachweise genutzt werden, um eine vollständige Durchführung des PDCA-Zyklus im Rahmen der externen Zertifizierungsaudits nach ISO 27001:2022 zu belegen.
Ziele:
Internes Audit durchführen, Anforderungen integrieren, kontinuierliche Verbesserung sicherstellen
Als Energie- und Wasserversorgungsunternehmen mit ca. 600.000 zu versorgenden Einwohnern zählt die DEW21 Gruppe zu den Betreibern von kritischen Infrastrukturen in Deutschland. Zur Umsetzung der gesetzlichen Anforderungen betreibt DEW21 ein ISMS gemäß ISO 27001.
Um die Vollständigkeit des kontinuierlichen Verbesserungsprozesses des ISMS zu gewährleisten, wurde im Rahmen des Projekts ein internes Audit nach der ISO 27001 sowie ISO 27019 durchgeführt. Der Auditumfang wurde zusätzlich um die Anforderungen des KRITIS-DachG sowie des NIS2UmsuCG ergänzt, und das Audit wurde um eine Gap-Analyse erweitert, um den Reifegrad der Umsetzung zu bewerten.
Die von HiSolutions dokumentierten Auditbelege und Befunde wurden von DEW21 im Rahmen des externen Zertifizierungsaudits genutzt, um die unabhängige Überprüfung sowie die kontinuierliche Weiterentwicklung des Managementsystems zu belegen.
Herausforderungen:
Ganzheitliche Betrachtung, Berücksichtigung von Fristen, Vertretungen und Ausfallzeiten
Eine zentrale Kernherausforderung der Prüftätigkeiten waren die starken Überschneidungen der Standards und Richtlinien, die in einer Einzelbetrachtung zu doppelten Prüfhandlungen und Mehrbelastungen der DEW21 Belegschaft geführt hätten.
Ferner mussten innerhalb der Audit- und Prüfplanung typische Vertretungen und Ausfallzeiten sowie die Fristen der externen Zertifizierungsaudits berücksichtigt werden.
Umsetzung:
Optimierte Audittermine durch Identifikation von Überschneidungen, detaillierte Auswertungen zur ISMS-Weiterentwicklung
Aus dem Expertenteam von HiSolutions wurde ein vierköpfiges Audit-Team aufgestellt, welches die notwendigen Prüfqualifikationen aufweist. So konnten wir für DEW21 eine zeitliche Flexibilität sowie eine Prüfung im Vier-Augen-Prinzip gewährleisten.
Um die zeitliche Einbindung der ISMS-Belegschaft von DEW21 zusätzlich zu reduzieren, wurden die Überschneidungen der Prüfstandards im Vorfeld identifiziert und konzentrierte Audittermine geplant. Dadurch mussten relevante Ansprechpartner die Prüfinhalte lediglich einmalig aufbereiten und belegen.
Um DEW21 einen zusätzlichen Vorlauf zur Berücksichtigung der ausgesprochenen Befunde im Rahmen des ISMS zu ermöglichen, wurden ausgewiesene Befunde neben täglichen Abschlussgesprächen im Sinne der ISO 19011 in wöchentlichen Zwischenergebnisberichten kommuniziert.
In einem abschließenden Auditbericht wurden die inhaltlichen Überschneidungen der Standards ausgewiesen, um redaktionelle Redundanzen zu vermeiden und Befunde im GRC-Tool von DEW21 zu berücksichtigen.
Ferner wurde der Auditbericht um detaillierte Auswertungen der Standards ergänzt, um eine Weiterentwicklung des ISMS über alle Entscheidungsebenen bestmöglich zu unterstützen.
Ergebnis:
Audit erfolgreich durchgeführt, kontinuierliche ISMS-Verbesserung und PDCA-Zyklus dokumentiert
Die vorgesehenen Standards und Richtlinien konnten erfolgreich in einem Multi-Standard-Audit überprüft und Prüfhandlungen durch einen kombinierten Auditbericht belegt werden.
Notwendige Audittermine konnten dabei flexibel und effizient unter Berücksichtigung der Ressourcen von DEW21 geplant und durchgeführt werden. Die Einbindung der Belegschaft von DEW21 wurde auf ein notwendiges Minimum reduziert.
Die ausgesprochenen Befunde und Verbesserungsmaßnahmen konnten DEW21 transparent gemacht werden. Diese werden von DEW21 genutzt, um das ISMS kontinuierlich zu verbessern und die Implementierung eines vollständigen PDCA-Zyklus innerhalb des externen Zertifizierungsaudits zu belegen.
Das sagt unser Kunde
„Der Wechsel unseres internen Auditors war sehr erfrischend. Die hohe Qualität, Größe des HiSolutions-Auditteams und die verbundene Prüftiefe beleuchteten insbesondere die Ecken unseres ISMS und zeigten unerschlossene Potenziale auf. Die NIS2- und KRITIS-DachG- Reifegradanalyse hilft uns bei der Fokussierung unserer Maßnahmen zur Umsetzung der Anforderungen.“
Jens Feistel
Informationssicherheitsbeauftragter
DEW21
Über DEW21
Mit Sitz in Dortmund, rund 1.050 Mitarbeitenden und einem Gesamtabsatz von rund 6,5 Milliarden kWh sowie 46,1 Mio m³ Trinkwasser gehört die DEW21 Gruppe zu den führenden Versorgungsdienstleistern in Nordrhein-Westfalen.
Neben dem Vertrieb und Handel sowie dem Verteilen von Energie und Trinkwasser an regionale Haushalte betriebt die DEW21 Gruppe ebenso Anlagen Dritter im Rahmen von Kunden- und Partnervereinbarungen.
HiSolutions ist die führende Management- und Technologie-Beratungsgesellschaft für Sicherheit und Digitalisierung. Seit über 30 Jahren kombinieren wir hochspezialisiertes Know-how mit Konzeptionsstärke, Innovationskraft und Umsetzungskompetenz.
Mehr als 350 Mitarbeitende an sechs Standorten unterstützen Unternehmen und Institutionen nahezu aller Branchen sowie die öffentliche Verwaltung in Bund, Ländern und Kommunen dabei, die Chancen des digitalen Wandels für sich zu nutzen und die damit verbundenen Risiken zu beherrschen. In etwa 1.500 Projekten jährlich werden Grenzen und Barrieren in der Zusammenarbeit von Business und IT abgebaut und wirkliche Business-IT-Partnerschaften entwickelt.
Kontakt:
HiSolutions AG | Schloßstraße 1 | 12163 Berlin | Fon +49 30 533 289-0 | Fax +49 30 533 289-900 | info@hisolutions.com | www.hisolutions.com
HiSolutions AG
Schloßstraße 1
12163 Berlin
Telefon: +49 (30) 533289-0
Telefax: +49 (30) 533289-900
http://www.hisolutions.com
Marketing, Kommunikation und Öffentlichkeitsarbeit
Telefon: +49 30 533 289 0
E-Mail: bolius@hisolutions.com
