Kuinka Autotech Group edistää jatkuvaa tietoturvallisuuden parantamista ISO 27001 -standardin avulla

”Sertifiointi on matkan sivutuote – olemme tehneet tämän kehittääksemme itseämme yrityksenä ja parantaaksemme lähestymistapaamme tietoturvallisuuden hallintaan, loppukäyttäjien koulutukseen ja prosesseihin.”

Jack Salsbury IT- ja tietoturvapäällikkö, Autotech Group

Keskeiset ostokset

Lue lisää Autotech Groupista:

• Saavutti ISO 27001 -sertifikaatin 11 kuukaudessa
• Käytti IO-alustaa tietoturvan hallintajärjestelmien käyttöönoton virtaviivaistamiseen
• Hyödynsi SGG:n ISO 27001 -asiantuntemusta menestyksen tukemiseksi
• Sulautetun tietoturvan parhaat käytännöt jatkuvaa parantamista varten.

Tietoja Autotech Groupista

Autotech Group on auto- ja liikkuvuusalan asiantuntija, johon kuuluu neljä tuotemerkkiä: Autotech Recruit, Autotech Training, Autotech Academy ja Autotech Connect.

Yritys on palkittu erikoistunut konsulttiyritys, joka edistää innovaatioita autoteollisuudessa ja laajemmin liikkuvuusaloilla. Räätälöityjen ratkaisujen avulla, jotka perustuvat yrityksen kolmeen ydinosaamisalueeseen – ihmisiin, taitoihin ja teknologiaan – he ratkaisevat yhden alan kiireellisimmistä haasteista: kasvavan työvoimapulan.

Challenge

Autotech Groupin tiimin piti saavuttaa ISO 27001 -standardin noudattaminen osana strategista lähestymistapaansa tietoturvaan. He tiesivät, että rakentamalla, ylläpitämällä ja parantamalla ISO 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää (ISMS) he voisivat varmistaa, että yrityksen lähestymistapa tietoturvaan oli parhaiden käytäntöjen mukainen.

”Tietoturva ei pysy muuttumattomana. Muutumme ja kehitymme jatkuvasti ja varmistamme, että tietoturvamme on oikeassa suhteessa yrityksen tarpeisiin sen sijaan, että vain lisäisimme mitä tahansa.”

Jack Salsbury IT- ja tietoturvapäällikkö, Autotech Group

ISO 27001 -sertifiointi antaisi Autotech Groupille myös mahdollisuuden osoittaa sidosryhmille, että liiketoiminta täyttää keskeiset tietoturvavaatimukset. Monet Autotech Groupin toimittajat ja yhteistyökumppanit vaativat todisteita tietoturvavaatimusten noudattamisesta, ja vaatimukset ylittivät usein perustason tietoturvakehysten, kuten Cyber ​​Essentialsin ja Cyber ​​Essentials Plusin, laajuuden.

Tämän vuoksi tehokkaiden tietoturvatoimenpiteiden osoittaminen oli ratkaisevan tärkeää jatkuvan menestyksen kannalta: ISO 27001 -sertifiointi toimisi kasvun katalysaattorina.

”Meille Cyber ​​Essentials ja Cyber ​​Essentials Plus eivät enää riittäneet. ISO 27001 -standardista tuli laajempi seuraava askel sertifioinnin ja tietoturvamme osoittamisen kannalta.”

Jack Salsbury IT- ja tietoturvapäällikkö, Autotech Group

Sisäisen ISO 27001 -asiantuntemuksen kehittyessä tiimi tarvitsi kuitenkin lisätukea käyttöönoton läpivientiin ja alustan vaatimustenmukaisuusprosessin vahvistamiseksi.

Ratkaisu

Tiimi käytti tietoturvakonsulttien SGG:n asiantuntemusta ja hyödynsi IO-alustaa keskittääkseen vaatimustenmukaisuuden hallinnan. Sisäisesti Autotech Groupin projektipäällikkö Nadège hoiti omistautunutta projektinhallintaa. Hän yhdenmukaisti ISO 27001 -projektin rakenteen ja vastuut sisäisten resurssien ja liiketoimintavaatimusten kanssa varmistaakseen lopulta onnistuneen sertifioinnin.

Chris Gill, SGG:n kyberturvallisuuden, GRC:n ja auditoinnin johtaja, tarjosi tukea koko sertifiointiprosessin ajan. Hän työskenteli Autotech Group -tiimin kanssa keskustellakseen standardin hieman epäselvistä osa-alueista ja jakoi parhaita käytäntöjä käyttöönottoa varten. Chris sanoi: ”Sekä Jackilla että Nadègella oli korkeatasoinen osaaminen tietoturvan suhteen. SGG:n tehtävänä oli selventää ISO 27001:2022 -standardin teknisiä vaatimuksia ja neuvoa, miten vaatimukset voidaan tehokkaasti ottaa käyttöön ja noudattaa.”

”SGG toi sertifiointiprosessiin selkeyttä ja asiantuntemusta puuttumalla standardin osa-alueisiin, joilla tarvitsimme tukea.”

Jack Salsbury IT- ja tietoturvapäällikkö, Autotech Group

Jack ja Nadège käyttivät IO:n 11-vaiheista Assured Results Method (ARM) -menetelmää strategiseen lähestymistapaan toteutuksessa. He käyttivät myös alustan sisäänrakennettuja käytäntö- ja valvontamalleja ja muokkasivat niitä varmistaakseen, että ne olivat liiketoiminnan kontekstiin sopivia.

”Alusta tarjosi meille kehyksen ja sisällön, jota pystyimme soveltamaan – sisäinen ISO 27001 -kokemuksemme kehittyi, joten se oli korvaamatonta menestyksemme tukemisessa.”

Nadège Gavarret-Clarke Projektipäällikkö, Autotech Group

IO-alustan avulla Autotech Group pystyi myös kartoittamaan ISO 27001- ja ISO 9001 -laatustandardien vaatimukset ja yhdenmukaistamaan päällekkäiset kontrollit. Tämä esti päällekkäisen työn ja tehosti vaatimustenmukaisuuden hallintaa kahden standardin välillä.

Lopputulos

”ARM antoi meille rationaalisen tavan lähestyä ISO 27001 -standardia, ja pystyimme käyttämään sitä syventääksemme sitten jokaisen lausekkeen ja liitteen A mukaisen valvonnan yksityiskohtia.”

Jack Salsbury IT- ja tietoturvapäällikkö, Autotech Group

Tällä kokonaisvaltaisella lähestymistavalla vaatimustenmukaisuuteen, joka kattaa henkilöstön, prosessit ja alustat, Autotech Group saavutti ISO 27001 -sertifikaatin 11 kuukaudessa. Yrityksellä on nyt vankka tietoturvallisuuden hallintajärjestelmä (ISMS), ja tiimi jatkaa tietoturvallisuuden hallinnan lähestymistapansa kehittämistä sitoutuen ISO 27001 -standardin jatkuvan parantamisen vaatimukseen.

Autotech Recruit on nyt yksi harvoista kokoluokassaan olevista rekrytointiyrityksistä, joilla on sekä ISO 27001- että ISO 9001 -sertifikaatti, mikä heijastaa tiimin sitoutumista laatuun ja turvallisuuteen.

”IO on antanut meille mielenrauhan, sillä voimme käsitellä auditointiemme tuloksena syntyneitä parannuksia ja mitata niitä. Näemme missä mennään, ja kun teemme muutoksen, näemme sen vaikutuksen. IO-alusta antaa meille todella selkeän kuvan siitä, mitä olemme parantaneet kontrollin tasolla.”

Jack Salsbury IT- ja tietoturvapäällikkö, Autotech Group

Vaikka ISO 27001 -sertifioinnin onnistuminen oli keskeinen tavoite, Jack oli yhtä lailla samaa mieltä siitä, että standardin parhaiden käytäntöjen tehokas soveltaminen koko yrityksessä oli tärkeää:

”Sertifiointi on matkan sivutuote – olemme tehneet tämän kehittääksemme itseämme yrityksenä ja parantaaksemme lähestymistapaamme tietoturvallisuuden hallintaan, loppukäyttäjien koulutukseen ja prosesseihin.”

Jack Salsbury IT- ja tietoturvapäällikkö, Autotech Group

Autotech Group on varannut seuraavat kolme auditointiaan SGG:ltä varmistaakseen jatkuvan vaatimustenmukaisuuden ja kehittääkseen tietoturvanhallintajärjestelmänsä kypsyyttä. Jack sanoi: ”Yksi asia, jonka koin hyödyllisimmäksi SGG:n kanssa työskentelyssä, on keskustella tietoturvanhallintajärjestelmän odotetusta kypsyystasosta matkan varrella.”

”On ollut hienoa nähdä, miten Autotech Group on kehittänyt prosessejaan ja käytäntöjään työskennellessäni heidän kanssaan. Odotan innolla heidän sisäisten auditointiensa suorittamista, jotta voidaan selvittää ISO 27001:2022 -standardin vaatimusten noudattamista ja parannusalueita kumppanuutemme kehittyessä.”

Chris Gill Kyberturvallisuuden, GRC:n ja auditoinnin johtaja, SGG

Seuraavat vaiheet

Tiimi työskentelee Autotech Groupin GDPR-vaatimustenmukaisuuden parissa tulevina kuukausina. IO-alustan avulla he aikovat aloittaa puuteanalyysin tunnistaakseen, missä ISO 27001 -sertifiointia varten käyttöön otetut kontrollit voivat olla GDPR-vaatimusten mukaisia ​​ja missä tarvitaan lisää työtä.