Sådan driver Autotech Group løbende forbedringer af informationssikkerhed med ISO 27001

"Certificeringen er et biprodukt af rejsen – vi har gjort dette for at forbedre os selv som virksomhed og forbedre vores tilgang til informationssikkerhedsstyring, slutbrugeruddannelse og processer."

Jack Salsbury Chef for IT- og informationssikkerhed, Autotech Group

Nøgleforsøg

Lær hvordan Autotech Group:

• Opnået ISO 27001-certificering på 11 måneder
• Brugte IO-platformen til at strømline implementeringen af ​​ISMS
• Udnyttede SGG's ISO 27001-ekspertise til at understøtte succes
• Bedste praksisser for integreret informationssikkerhed til løbende forbedringer.

Om Autotech Group

Autotech Group, en specialist inden for bil- og mobilitetssektoren, består af fire brands: Autotech Recruit, Autotech Training, Autotech Academy og Autotech Connect.

Virksomheden er en prisvindende specialiseret konsulentvirksomhed, der driver innovation på tværs af bilindustrien og den bredere mobilitetssektor. Gennem skræddersyede løsninger bygget op omkring virksomhedens tre kerneområder – mennesker, færdigheder og teknologi – tackler de en af ​​branchens mest presserende udfordringer: den voksende mangel på arbejdskraft.

Udfordringen

Autotech Group-teamet skulle opnå ISO 27001-overholdelse som en del af deres strategiske tilgang til informationssikkerhed. De vidste, at ved at opbygge, vedligeholde og forbedre et ISO 27001-kompatibelt informationssikkerhedsstyringssystem (ISMS) kunne de sikre, at virksomhedens tilgang til informationssikkerhed var i overensstemmelse med bedste praksis.

"Informationssikkerhed forbliver ikke statisk. Vi er altid i forandring og udvikling, og vi sørger for, at vores informationssikkerhed står i forhold til, hvad vi har brug for som virksomhed, i stedet for bare at tilføje alt, hvad vi kan få."

Jack Salsbury Chef for IT- og informationssikkerhed, Autotech Group

ISO 27001-certificering ville også gøre det muligt for Autotech Group at demonstrere over for interessenter, at virksomheden opfyldte centrale informationssikkerhedskrav. Mange af Autotech Groups leverandører og partnere krævede dokumentation for overholdelse af informationssikkerhedskrav, hvor kravene ofte gik ud over rammerne for grundlæggende sikkerhedsrammer som Cyber ​​Essentials og Cyber ​​Essentials Plus.

Dette gjorde det afgørende for fortsat succes at demonstrere effektive informationssikkerhedsforanstaltninger: ISO 27001-certificering ville være en katalysator for vækst.

"For os var Cyber ​​Essentials og Cyber ​​Essentials Plus ikke længere tilstrækkelige. ISO 27001 blev det bredere næste skridt i forhold til certificering og at kunne dokumentere vores informationssikkerhed."

Jack Salsbury Chef for IT- og informationssikkerhed, Autotech Group

Men i takt med at teamet udviklede intern ISO 27001-ekspertise, havde de brug for yderligere støtte til at gennemføre implementeringen og en platform til at konsolidere compliance-processen.

Løsningen

Teamet benyttede sig af ekspertise fra informationssikkerhedskonsulenter, SGG, og udnyttede IO-platformen til at centralisere deres compliance-styring. Internt leverede Autotech Groups projektleder, Nadège, dedikeret projektledelse. Hun tilpassede ISO 27001-projektstrukturen og -ansvaret til interne ressourcer og forretningskrav for i sidste ende at sikre en vellykket certificering.

Chris Gill, chef for cybersikkerhed, GRC og revision hos SGG, ydede støtte gennem hele certificeringsprocessen. Han arbejdede sammen med Autotech Group-teamet for at diskutere områder af standarden, der var en smule tvetydige, og delte bedste praksis for implementering. Chris sagde: "Både Jack og Nadège havde et højt niveau af kompetence, når det kom til informationssikkerhed. SGG's rolle var at skabe klarhed over de tekniske krav i ISO 27001:2022 og rådgive om, hvordan man effektivt implementerer og overholder kravene."

"SGG bidrog med klarhed og ekspertise til certificeringsprocessen og adresserede områder af standarden, hvor vi havde brug for støtte."

Jack Salsbury Chef for IT- og informationssikkerhed, Autotech Group

Jack og Nadège brugte IO's 11-trins Assured Results Method (ARM) til at anlægge en strategisk tilgang til implementeringen. De brugte også platformens indbyggede politik- og kontrolskabeloner og tilpassede dem for at sikre, at de var specifikke for virksomhedens kontekst.

"Platformen gav os rammerne og indholdet, som vi kunne tilpasse – vores interne ISO 27001-erfaring var under udvikling, så det var uvurderligt for at understøtte vores succes."

Nadège Gavarret-Clarke Projektleder, Autotech Gruppen

Ved hjælp af IO-platformen kunne Autotech Group også kortlægge krav mellem ISO 27001 og ISO 9001, kvalitetsstyringsstandarden, og justere kontroller, hvor de overlappede. Dette forhindrede dobbeltarbejde og strømlinede compliance-styringen på tværs af de to standarder.

Resultat

"ARM gav os en rationel måde at gribe ISO 27001-standarden an på, og vi kunne bruge det til derefter at gå i dybden med hver af klausulerne og kontrollerne i bilag A."

Jack Salsbury Chef for IT- og informationssikkerhed, Autotech Group

Med denne holistiske tilgang til compliance på tværs af mennesker, processer og platform opnåede Autotech Group ISO 27001-certificering på 11 måneder. Virksomheden har nu et robust ISMS, og teamet fortsætter med at udvikle deres tilgang til informationssikkerhedsstyring og forpligter sig til ISO 27001-kravet om løbende forbedringer.

Autotech Recruit er nu en af ​​de eneste rekrutteringsvirksomheder af sin størrelse, der har både ISO 27001- og ISO 9001-certificering, hvilket afspejler teamets engagement i kvalitet og sikkerhed.

"IO har givet os ro i sindet, da vi kan adressere forbedringer, der kommer ud af vores revisioner, og måle disse forbedringer. Vi kan se, hvor vi er, og når vi foretager en ændring, kan vi se effekten. IO-platformen giver os et virkelig klart overblik over, hvad vi har forbedret på kontrolbasis."

Jack Salsbury Chef for IT- og informationssikkerhed, Autotech Group

Selvom succesfuld ISO 27001-certificering var det centrale mål, fortalte Jack, at det var lige så vigtigt, at standardens bedste praksis blev anvendt effektivt på tværs af virksomheden:

"Certificeringen er et biprodukt af rejsen – vi har gjort dette for at forbedre os selv som virksomhed og forbedre vores tilgang til informationssikkerhedsstyring, slutbrugeruddannelse og processer."

Jack Salsbury Chef for IT- og informationssikkerhed, Autotech Group

Autotech Group har booket deres næste tre audits hos SGG for at sikre løbende overholdelse af reglerne og udvikle modenheden af ​​deres ISMS. Jack sagde: "En af de ting, jeg fandt mest nyttige ved at arbejde med SGG, er at diskutere det forventede modenhedsniveau for et ISMS undervejs."

"Det har været fantastisk at se, hvordan Autotech Group har modnet deres processer og politikker, siden jeg begyndte at arbejde med dem. Jeg ser frem til at udføre deres interne revisioner for at fastslå overholdelse af kravene i ISO 27001:2022 og områder, der kan forbedres, efterhånden som vores partnerskab udvikler sig."

Chris Gill Leder af cybersikkerhed, GRC og revision, SGG

Næste trin

Teamet arbejder på Autotech Groups GDPR-overholdelse i de kommende måneder. Ved hjælp af IO-platformen planlægger de at starte med en gap-analyse for at identificere, hvor de kontroller, de implementerede til ISO 27001-certificering, kan stemme overens med GDPR-kravene, og hvor der kræves mere arbejde.