Cas Client

Wie VINCI Energies aus der Zertifizierung nach ISO 27001 einen Wettbewerbsvorteil gemacht hat

Kunde

Aktivitäten

  • Ein wichtiger Akteur der Energiewende und der digitalen Transformation
  • 85 700 Mitarbeiter
  • 1 800 Unternehmen

Herausforderungen

  • Erhalt der ISO 27001-Zertifizierung
  • Abschluss des Projekts innerhalb von 12 Monaten
  • Einbeziehung von Team und Management

VINCI Energies Systèmes d’Information (VESI) ist der CIO der VINCI Energies-Gruppe und erbringt IT-Dienstleistungen für die 1 700 Unternehmen der VINCI-Gruppe. Authentifizierungsdienste, Messaging, Collaboration-Tools, ERP und Core-Business-Anwendungen werden in der gesamten Gruppe eingesetzt, wobei jedes Unternehmen seine eigenen Geschäftsbereiche hat.


Cybersicherheit ist für alle diese Aktivitäten von grundlegender Bedeutung, weshalb sich VESI für eine Zertifizierung nach ISO 27001 entschieden hat. Ein Großprojekt, das Hand in Hand mit den Teams von Advens durchgeführt wurde …

„Cybersicherheit wird immer häufiger in den Ausschreibungen erwähnt, an denen unsere 1 700 Unternehmen teilnehmen. Sie wenden sich an uns, um die Anforderungen ihrer Kunden zu erfüllen. Unsere Zertifizierung nach ISO 27001 ist ein zusätzliches Argument in ihren Angeboten.“

Bertrand Leclerc CISO bei VINCI Energies Systèmes d’Information

Zertifizierung nach ISO 27001 für ein doppeltes Ziel: Steigerung der Wettbewerbsfähigkeit und Entwicklung von Kompetenzen

Für VINCI Energies Systèmes d’Information gab es keine gesetzlichen Auflagen, die eine Zertifizierung des Sicherheitsmanagements erfordert hätten. Vielmehr ging es darum:

  • den Unternehmen der Gruppe die Möglichkeit zu geben, sich von ihren Mitbewerbern abzuheben
  • das Sicherheitsteam weiter zu entwickeln.

„Es war eine Gelegenheit zu sehen, wo wir stehen, wenn wir uns an einem anerkannten Standard messen. Unser Sicherheitsteam wurde erst 2017 gegründet, als wir eine Roadmap für Cybersicherheit erstellten.“

Bertrand Leclerc CISO bei VINCI Energies Systèmes d’Information

Die Roadmap für Cybersicherheit basierte bereits auf einer Selbstbewertung der Sicherheitsaktivitäten im Hinblick auf ISO 27001. Die Einleitung des Zertifizierungsprozesses ermöglichte eine objektive Bestandsaufnahme der Umsetzung.

Ein erfahrenes Projektteam

Zertifizierung bedeutet Organisation. Ein Compliance-Projektmanager wurde eingestellt, um die Zertifizierung zu leiten und das Informationssicherheits-Managementsystem (ISMS) zu gewährleisten. Zusätzlich zu diesem Neuzugang hat der Direktor für Informationssysteme einen Spezialisten für Sicherheitsaudits und ISO 27001 ausgewählt. Die Advens-Teams wurden mobilisiert, um VESI bei diesem Prozess zu unterstützen.

„Wir haben bereits zahlreiche Kunden bei der Umsetzung von ISO 27001 unterstützt. Einige tun dies aus regulatorischen Gründen, andere, um ihre Kompetenzen im Bereich Cybersicherheit zu erweitern oder um einen echten Wettbewerbsvorteil zu erzielen, wie VINCI Energies. Aber es ist auch ein Rahmen, eine solide Struktur für die Zukunft!“

Nicolas Pierre Compliance-Experte bei Advens, Mitglied des Projektteams von VINCI Energies

Die Herausforderung: 12 Monate bis zur Zertifizierung nach ISO 27001!

Das Projekt wird gestartet. Bertrand Leclerc und Dominique Tessaro, CIO von VINCI Energies, legen einen Fahrplan mit klaren Fristen fest: VESI hat 12 Monate Zeit für die Zertifizierung! Ein straffer Zeitplan, bei dem Advens eine entscheidende Rolle spielt.

„ISO 27001 ist eine umfangreiche Dokumentation und erfordert ein gutes Verständnis der Anforderungen, aber auch eine Vorbereitung auf ein Audit, was nicht in unserer DNA lag. Wir brauchten eine professionelle Sicht von außen. Das Team von Advens hatte viel Erfahrung mit diesem Prozess und das Vertrauen war sofort da.“

Bertrand Leclerc CISO bei VINCI Energies Systèmes d’Information

Ein starker Bedarf an Unterstützung für das Projekt

Das Team, bestehend aus vier Advens-Beratern, dem VESI-Projektleiter und Bertrand Leclerc, konnte auf die Expertise von zwei erfahrenen ISO 27001-Referenten zurückgreifen. Diese führten das interne Audit durch, das dem Zertifizierungsaudit vorausging. Der kritischste Punkt neben der Arbeit an den Sicherheitsverfahren? Das war zweifellos die Einbindung aller VESI-Mitarbeiter in das Projekt.

„Es war ein unternehmensweites Projekt, das heißt, 550 Mitarbeiter waren involviert. Wir mussten die Gründe für das Projekt erklären und alle dazu bringen, mitzumachen, wobei wir wussten, dass es wie in jedem Unternehmen eine Fluktuation gibt. Neuzugänge mussten integriert werden. Zu diesem Zweck wurden etwa zehn Veranstaltungen mit Hilfe unserer kollaborativen Tools organisiert.“

Bertrand Leclerc CISO bei VINCI Energies Systèmes d’Information

Die Bedeutung der Unterstützung durch das Management

Bertrand Leclerc und das Projektteam haben daran gearbeitet, das Projekt zu erklären und das Engagement zu wecken. Aber sie hatten einen starken Verbündeten: die tatkräftige Unterstützung ihres CIO. Das Ergebnis war mehr als zufriedenstellend: VESI erhielt die Zertifizierung mit Bravour, ohne eine einzige Abweichung seitens des Auditors.
Eine äußerst seltene Beurteilung.

„Von allen Projekten, an denen ich beteiligt war, war das Engagement des Managements am aktivsten, mit einem CIO, der sich wirklich engagierte und den Mitarbeitern die richtigen Botschaften vermittelte. Er war während der gesamten Entwicklung des Managementsystems anwesend. Das Ergebnis zeugte von diesem Engagement!“

Nicolas Pierre Compliance-Experte bei Advens, Mitglied des Projektteams von VINCI Energies

Die Fortsetzung: Mehr als eine Zertifizierung, ein langfristiges Innovationsprojekt …

Eine ISO 27001-Zertifizierung ist kein Korsett, dem man sich unterwerfen muss. Der Prozess war nicht langweilig, denn es gab tausend Möglichkeiten, die Anforderungen der Norm zu erfüllen, die so breit und allgemein formuliert ist, dass die Cyberteams innovativ vorgehen konnten, ohne zwangsläufig das in Frage zu stellen, was bisher innerhalb der VINCI-Gruppe umgesetzt worden war.

Zertifizierung nach ISO 27001: ein gemeinsames Projekt, das fortgesetzt werden muss

Die Zertifizierung nach ISO 27001 ist die Krönung der Kompetenzentwicklung aller beteiligten Teams und Berufsgruppen, was den Unternehmen zu Beginn des Prozesses nicht immer bewusst ist.


Ein solcher Zertifizierungsprozess muss als langfristiges Projekt betrachtet werden, das dem Unternehmen einen Zyklus der kontinuierlichen Verbesserung seiner Sicherheit ermöglicht. Und der CIO von VINCI Energies Systèmes d’Information will diese Entwicklung fortsetzen …

„Die Herausforderung besteht nun darin, in unseren Bemühungen nicht nachzulassen. Kurzfristig müssen wir das Tempo beibehalten, indem wir die nächsten Ausschüsse planen, das nächste interne Audit vorbereiten und die Dokumentation weiterentwickeln. Auch wenn das Audit keine oder nur geringfügige Nichtkonformitäten aufgedeckt hat, so wurden doch einige sensible Punkte identifiziert: So viele Verbesserungslinien, die wir in unseren Aktionsplan aufnehmen müssen, um die Cybersicherheit der Gruppe weiter zu stärken.“

Bertrand Leclerc CISO bei VINCI Energies Systèmes d’Information
Advens

Gemeinsam stark für eine bessere Zukunft

Kunde, Partner oder Bewerber: Engagieren Sie sich mit uns, um die Sicherheit von Organisationen zu gewährleisten und dabei unsere Werte, unsere Gesellschaft und unser Miteinander zu schützen. Gemeinsam setzen wir unsere Leistung für sinnvolle Projekte ein, die wirklich etwas bewirken.

Kontakt
Advens

Über Advens

Wir sind mehr als nur ein unabhängiger Marktführer für Cybersecurity in Europa.
Unsere Experten unterstützen Sie weltweit darin, Cyber-Bedrohungen effektiv zu meistern. Doch was uns wirklich auszeichnet, ist unser verantwortungsbewusstes Handeln. Wir schützen Ihre Daten und sorgen für eine sichere digitale Zukunft, die den Herausforderungen von heute und morgen gewachsen ist.

So bringen wir Sicherheit und Vertrauen in Einklang, damit Sie sich auf das Wesentliche konzentrieren können.

Mehr erfahren