Den BIO-Standard unter Kontrolle bringen
Zu viele Apps, kein Überblick
Wie jede Gemeinde bietet Waterland eine breite Palette von Dienstleistungen für seine Bewohner an, von Wohnungsbau und Planung bis hin zu lokalen Unternehmen und dem sozialen Bereich. Jeder Bereich stützt sich auf eigene Software, was zu einer weitläufigen IT-Landschaft, vielen zu sichernden Anwendungen und einem IT-Team führte, das wesentlich kleiner war, als es eine Stadt wie Amsterdam aufbieten könnte. Um den BIO-Standard zu erfüllen, benötigte die Gemeinde ein ISMS, das endlich alle erforderlichen Maßnahmen in einer einzigen Übersicht zusammenführen konnte.
Jimmy Voskuil, CISO bei Waterland, erinnert sich an den Ausgangspunkt: "Die Umsetzung der Maßnahmen für unsere ISO- und BIO-Zertifizierung erfolgte sehr ad hoc. Was uns am meisten fehlte, war eine einzige Anwendung, die das Gesamtbild zeigte. Es gab keine automatischen Erinnerungen, keine Benachrichtigungen zu den noch umzusetzenden Kontrollen und keinen echten Plan-Do-Check-Act-Rhythmus."
NIS2 setzte die Frist
NIS2 machte aus einer guten Absicht eine Frist. Die Gesetzgebung trat im März 2024 in Kraft und wird ab Oktober 2024 durchgesetzt. Sobald sie greift, wird ein ISMS für Gemeinden obligatorisch, zusammen mit Maßnahmen wie der Zwei-Faktor-Authentifizierung. Waterland benötigte ein pragmatisches ISMS, und zwar rechtzeitig.
In fünf Monaten live
Waterland entschied sich für die Kombination aus ISOPlanner™ und Instant 27001, einem ISMS, das bereits mit integrierten Vorlagen und Beispielen geliefert wird, was das schnelle Tempo ermöglichte.
Voskuil ergänzt: "Wir haben im August 2022 begonnen, und das ISMS war bereits im Dezember live, also innerhalb von fünf Monaten einsatzbereit, wo Organisationen normalerweise ein Jahr benötigen. Die Vorlagen machten es viel einfacher zu entscheiden, wie jeder Standard umgesetzt werden sollte; es ist immer einfacher, auf ein ausgearbeitetes Beispiel zu reagieren, als alles von Grund auf neu zu erfinden. Die Vorlage für die obligatorische Stakeholder-Analyse war zum Beispiel eine echte Hilfe. Wir haben den Prozess in der ersten Abteilung abgeschlossen, und in den kommenden Monaten werden wir die anderen Abteilungen ebenfalls damit vertraut machen."
Es musste in Microsoft laufen
Voskuil fährt fort: "Für eine kleine Gemeinde wie unsere ist Informationssicherheit genauso wichtig wie für eine große, aber ein großes, teures ISMS kam nie in Frage. Wir haben das Ausschreibungsverfahren durchlaufen und mit vier Anbietern über die Implementierung eines ISMS gesprochen."
Er fährt fort: "Wir wollten eine schnelle Implementierung, bei der ein Großteil der Vorarbeit bereits erledigt war, und sie musste unsere Sicherheitsanforderungen erfüllen, darunter auch Single Sign-On. Die Microsoft-Integration war nicht verhandelbar, da sie den Plan-Do-Check-Act-Zyklus vorantreibt. Die anderen drei hatten keine Microsoft-Integration, sodass Dokumente in einer Anbieterumgebung gefangen blieben. Mit ISOPlanner™ und Instant 27001 landen Aufgaben und Auslöser durch diese Integration direkt in Outlook, und das sichert die endgültige Umsetzung unserer Maßnahmen."
Preise, die mit Ihnen wachsen
Auch die Preisgestaltung spielte bei der Wahl von ISOPlanner™ und Instant 27001 eine große Rolle. Voskuil erklärt: „Als kleinere Gemeinde passte ein Modell, das auf der Anzahl der Benutzer basiert, perfekt zu uns. Wir konnten neue Mitarbeiter selbst hinzufügen, ohne jedes Mal zum Anbieter zurückkehren zu müssen. Wir hatten noch kein ISMS, daher ging es in der ersten Phase einfach darum, eines aufzubauen; erst später waren wir bereit, weitere Benutzer und Abteilungen hinzuzufügen.
Dieses Modell ermöglicht es uns, jeden Schritt in Ruhe und nacheinander vorzubereiten. Ein von Anfang an vollständig fertiges ISMS wirkt Wunder für die Akzeptanz eines neuen Systems, und es bedeutet, dass wir alle Probleme beheben können, bevor wir die nächste Abteilung anbinden.“
Dem Risiko voraus
Ein weiterer echter Bonus waren die 40 integrierten Standardrisiken. Voskuil: „Bei der Zertifizierung geht es letztlich darum, Risiken zu reduzieren: Man ergreift eine Maßnahme, stellt deren Wirkung fest, setzt sie ordnungsgemäß um und prüft dann, ob das ursprüngliche Risiko akzeptabel geworden ist.
Instant 27001 und ISOPlanner™ lieferten uns standardmäßig etwa 40 Risiken. Wir nutzten sie als Ausgangspunkt und entwickelten von dort aus unsere eigene Risikoanalyse. Selbst wenn unsere Risiken anders waren, war es viel einfacher, sich gegen etwas bereits Bestehendes zu entscheiden, als das Ganze von Grund auf neu zu erstellen. Das erwies sich in internen Diskussionen als besonders wertvoll und half den Mitarbeitern, die Maßnahmen zu akzeptieren.“
Vor der Rechnungsstellung fertig
Da ein Großteil der Vorarbeit bereits erledigt ist, ist die Plattform einfach zu handhaben. Die Schritte folgen einer logischen Reihenfolge, und die Standardberichte sind genau das, was eine kleinere Gemeinde braucht – nichts muss zusätzlich erstellt werden. Das bezeichnende Detail: Die App war einsatzbereit, noch bevor die Rechnung bezahlt wurde, und die Grundlage für die Zertifizierung war bereits gelegt.
Einmal fragen, dauerhaft gelöst
Das ISOPlanner™-Team ist leicht zu erreichen, und Updates kommen in einem stetigen Rhythmus. Wenn ein Benutzer eine Frage stellt, wird sie nicht nur beantwortet, sondern direkt integriert, damit die nächste Person nicht auf dasselbe Problem stößt.
Unter dem Ausschreibungslimit
Die Kostenstruktur war an sich schon ein Pluspunkt. Waterland hielt sich zwar an das vollständige Ausschreibungsverfahren, aber der Preis lag deutlich unter der Grenze von 12.500 €.
