Eraneos Group unterstützt armasuisse
Eraneos hat zusammen mit armasuisse nicht nur den Aufbau und die Einführung des Informationssicherheits-Managementsystems (ISMS) begleitet, sondern auch bei den Vorbereitungsarbeiten zu dessen ISO 27001 Zertifizierung massgeblich mitgewirkt. Zudem wird Eraneos armasuisse bei der kontinuierlichen Verbesserung des ISMS auch weiterhin mit Rat und Tat zur Seite stehen.
armasuisse ist das Kompetenzzentrum für Beschaffung, Technologie sowie Immobilien, gehört zum Departement VBS und besitzt viele sensible Daten. Höchste Anforderungen an die Informationssicherheit müssen deshalb in sämtlichen Prozessen und Projekten erfüllt sein, in denen Informationen gesammelt oder verarbeitet werden. Der Fokus richtet sich dabei auf den Schutz aller Informationen, die schützenswert sind und deren Kenntnisnahme durch Unberechtigte schwerwiegende Folgen haben könnte. Entsprechend wird die Informationssicherheit bei armasuisse seit jeher grossgeschrieben.
Das Projekt ISMS wurde 2017 im gesamten VBS gestartet. Seit 2018 müssen die Verwaltungseinheiten des VBS ihre Risiken bezüglich Informationssicherheit mit einem Informationssicherheits-Managementsystem (ISMS) bewirtschaften. armasuisse hat diesen Auftrag öffentlich ausgeschrieben und konnte mit Eraneos eine Firma engagieren, die im Markt als führendes Technologieberatungsunternehmen gilt und entsprechende Erfahrungen und die notwendigen Ressourcen vorlegen konnte.
Ziel dieses Projekts war es, mit dem ISMS die Aufrechterhaltung der Informationssicherheit und die Einhaltung des Informations- und Datenschutzes bei armasuisse gesamthaft und kontinuierlich zu verbessern. Nachdem das ISMS gemäss den Vorgaben des VBS etabliert war, entschied armasuisse als eine der wenigen Organisationseinheiten im VBS, das ISMS gemäss ISO 27001 zertifizieren zu lassen. In diesem Sinne übernimmt armasuisse hier eine Vorreiterrolle und erhält deshalb von den übrigen Verwaltungseinheiten des VBS immer wieder Anfragen zu Prozessen, Dokumenten und Schulungen rund um das Thema Informationssicherheit.
Eraneos hat den Aufbau des ISMS aktiv unterstützt und insbesondere bei dessen Einführung vielfältige Aufgaben übernommen. Diese erstreckten sich von der Entwicklung und Optimierung des Einführungskonzepts über den Rollout bis hin zur Erstellung des Ausbildungskonzepts und der Schulungsunterlagen für das Training der Mitarbeitenden.
Im Rahmen des Rollouts bei den Kompetenzbereichen identifizierten Eraneos Experten mit den Verantwortlichen zunächst die Assets. Dann erstellte die Eraneos gemeinsam mit den Geschäftsprozess-Verantwortlichen die Schutzbedarfsanalysen der schützenswerten Informationen. Weitere wichtige Schritte waren die Erkennung potenzieller Risiken sowie deren Bewertung und Behandlung mit den Risikoeignern.
Um die Konformität des ISMS sicherzustellen, prüfte Eraneos bei den nachfolgenden internen Audits, ob alle Vorgaben des VBS vorschriftsgemäss erfüllt sind.
Auch in die Vorbereitung für die erfolgreiche ISO 27001 Zertifizierung im September 2019 war Eraneos involviert. Zu unseren Aufgaben gehörten namentlich die Beurteilung der Zertifizierungsreife, die Priorisierung und Umsetzung von Massnahmen zur Steigerung des Reifegrades, die Erstellung von Richtlinien und Anleitungen für das ISMS, die Unterstützung des Zertifizierungs-Audits sowie die Sammlung aller erforderlichen Evidenzen und Nachweise.
Da das ISMS für die Informationssicherheit bei armasuisse von zentraler Bedeutung ist, wird das System auch in Zukunft kontinuierlich weiter optimiert. Dank der erfolgreichen Zusammenarbeit in diesem Projekt begleiten Eraneos Experten die armasuisse dabei weiterhin. Eraneos wird die internen Verantwortlichen bei der Planung und Umsetzung der Nebenabweichung sowie bei der Analyse, Beurteilung und Umsetzung der Befunde aus dem Audit unterstützen.
Die erfolgten Interviews und Gespräche mit den Mitarbeitenden zeigen klar, dass die Akzeptanz des ISMS innerhalb armasuisse gross ist. Das ISMS wird von den Mitarbeitenden als Unterstützung empfunden. Dies ist nicht zuletzt dem Support durch die Unternehmensleitung und der Sicherheitsorganisation der armasuisse zu verdanken.
Der zuständige Gesamtprojektleiter René Liechti stiess als CISO/ISBO 2018 zu armasuisse und hat das Projekt ISMS übernommen. Die Grundlagen waren zu diesem Zeitpunkt in Zusammenarbeit mit Eraneos bereits erarbeitet und auch George von Büren als Verantwortlicher seitens Eraneos war mit dem Projekt vertraut.
In einem ersten gemeinsamen Schritt erfasste der Projektleiter mit Eraneos die Maturität innerhalb der armasuisse. Anschliessend gingen sie weitere Themen an, um die Zertifizierung zu erreichen. Dieses Vorgehen hat sich sowohl fachlich als auch menschlich sehr bewährt. Der weitere Projektverlauf unterstützten zwei weitere Experten von Eraneos.
Problematische Punkte in diesem Projekt gab es keine. Die Aufgaben und Termine waren klar vereinbart. Die Zusammenarbeit verlief reibungslos und war sehr motivierend. Zudem waren sich die Beteiligten stets sehr schnell einig. Dies führte dazu, dass wichtige Entscheidungen innerhalb kurzer Zeit getroffen wurden. Die Umsetzung erfolgte effizient, obwohl es kein 100%-Mandat war und die Eraneos-Mitarbeitenden deshalb nicht immer unmittelbar zur Verfügung standen.
Als wichtigen Punkt für die weitere Zusammenarbeit wünscht sich armasuisse noch aktiver Informationen zu anderweitigen Projekten zu erhalten, in welche die Personen auf dem Mandat gleichzeitig involviert sind. Zudem sollte darauf geachtet werden, dass es nicht zu Interessenskonflikten kommt, wenn ein Eraneos-Experte bei gleichartigen Themen mehrere Rollen für das VBS einnimmt.
«Die Motivation der Eraneos-Mitarbeitenden und das eingebrachte Fachwissen waren für uns ebenso inspirierend wie der klare Fokus auf das Ziel dieses Projektes.»
«René hat eine Bärenarbeit geleistet», kommentiert Dan-Raul Iova. «Ich komme aus der Informationssicherheitsberatung und werde Renés Rolle als CISO von armasuisse übernehmen. Zusätzlich erhalte ich noch einen Stellvertreter. Trotzdem bin ich sehr froh, dass die armasuisse weiterhin sehr committed ist bezüglich der Ressourcen von Eraneos. Ich freue mich sehr auf die Zusammenarbeit. Für mich ist es wichtig, dass wir die gute Kollaboration auf demselben Niveau weiterführen können, insbesondere im Hinblick auf die Rezertifizierung des ISMS im August 2022.»
Der amtierende CISO René Liechti schliesst sich den Worten von Dan-Raul Iova an. Er freue sich, dass die Zusammenarbeit mit Eraneos fortgesetzt werde, wenn auch in reduziertem Umfang, da armasuisse nun zusätzliche interne Ressourcen habe. «Ich bin zuversichtlich, dass die Rezertifizierung auch dieses Mal wieder prima klappt. Die Vorarbeiten und Nachweise sind da. Natürlich muss man sich reinknien. Doch George von Büren leistet hier als Lead Auditor kompetente Unterstützung.»
Gesamthaft betrachtet war die Zusammenarbeit in diesem Projekt auf allen Ebenen sehr motivierend und hat rundum gut funktioniert. Das von Eraneos eingebrachte Know-how und die einschlägigen Erfahrungen der gestellten Experten ermöglichte eine zielorientierte Unterstützung. Diese stellten sicher, dass die internen Prozesse der armasuisse beim Aufbau des ISMS miteinbezogen wurden. Dies war für armasuisse ein zentraler Punkt. Denn für die Akzeptanz des Systems bei den Mitarbeitenden ist es wichtig, dass diese durch das ISMS unterstützt werden und nicht eine weitere Bürde mit Zusatzaufwand in Kauf nehmen müssen.
Um das volle Potenzial von Smart Government auszuschöpfen, muss der digitalen Transformation mit einem ganzheitlichen Ansatz und geeigneten Strategien begegnet werden, welche die damit einhergehenden Veränderungen auf allen Ebenen umfassend unterstützen.
Als das Bundesamt für Gesundheit am 24. März 2021 informierte, bis zum Sommer werde ein international anerkanntes Impfzertifikat zur Verfügung stehen, glaubten nur wenige daran, dass die Verwaltung liefern würde. Im Sommer folgt das international anerkannte Impfzertifikat. Eine Erfolgsgeschichte, die Thesen für eine Schweiz nach Corona zulässt. Vier Erfolgsfaktoren im E-Paper der Eraneos Group.
Berichte zu unseren Projekten, Wissenswertes aus den verschiedenen Kompetenz- und Kundenbereichen als auch Informationen über unser Unternehmen haben wir hier für Sie zusammengetragen.