gothaer-logo

Gothaer Versicherungen

ISO 27001: Zertifizierung mit Auditor

Aufgabe

Der Konzern durchlief erstmals im Jahr 2008 den Zertifizierungsprozess zur DIN ISO 27001-Zertifizierung und soll mit Hilfe von Auditor massiv digital unterstützt werden.

Die Durchführung von notwendigen Überwachungsaudits soll auf Basis der Auditor-Weboberfläche den Zertifizierungsprozess der Gothaer wesentlich unterstützen. Es soll zudem eine Nachvollziehbarkeit und Auswertungsmöglichkeit über den Entwicklungsstand einzelner Organisationen entstehen.

Die von Auditor erstellten Ergebnisberichte sollen Bestandteil der Dokumentenprüfung für die regelmäßige Rezertifizierung sein.

 
 

Ausgangssituation

Die Gothaer Versicherungen führen seit 2008 regelmäßig Maßnahmen für und zur Rezertifizierung ISO 27001 durch. ISO 27001 ist ein Qualitätssiegel in den Bereichen IT-Sicherheit, Datenschutz, Datensicherheit und Risikomanagement (weitere Informationen: www.dekra.de/de/iso27001).

Die auf Dokumenten und Präsenzaudits basierende abschließende Prüfung wird von einem unabhängigen externen Prüfer der Dekra durchgeführt.

Im Vorfeld müssen erforderliche Dokumente, Nachweise und Berichte von Gothaer-Mitarbeitern erstellt und zusammengeführt werden. Hierzu ist die Überprüfung der ISO 27001-Qualitätskriterien in allen Gothaer-Organisationseinheiten erforderlich. Die Prüfungen wurden bisher mit Hilfe von Excel-, Word- und Papierfragebogen durchgeführt. Auditor wird diesen Prozess vereinfachen und somit den organisatorischen Aufwand schmälern.

 
 

Zertifizierungsablauf

ISO 27001-Zertifizierungen haben eine Gültigkeit von jeweils drei Jahren. Innerhalb dieser drei Jahre erfolgt jedes Jahr ein Überwachungsaudit.

Die Gothaer hat höchste Ansprüche an den IT- und Datenschutz. Um diesen gerecht zu werden, ist ein Bereich für die Sicherheit zuständig. Der Bereich führt unter anderem regelmäßig interne Qualitätsaudits durch. Sie bestehen aus der Beantwortung von digitalen Auditor-Fragebogen in Kombination mit Präsenzaudits durch geschulte Gothaer-Spezialisten.

Die von den Verantwortlichen auszufüllenden Fragebogen bestehen größtenteils aus halboffenen Fragen, z.B. "Haben Sie einen Berechtigungsprozess, worin Sie die Autorisierung der Nutzung von Hard- und Software regeln? Erläutern Sie diesen."

Ablauf der Zertifizierung

Nach der Erhebung bündelt Auditor die Daten und exportiert sie. Anschließend wird der IST-Zustand ausführlich dokumentiert. Es erfolgt eine Bewertung (siehe Abb. 2). Die gegebenen falls getroffenen Maßnahmen werden dokumentiert und deren Auswirkungen in späteren Audits überprüft.

Im dritten Jahr führt ein unabhängiger Dekra-Prüfer ein eigenständiges Audit durch. Die von Auditor erzeugten Dokumente dienen dem Prüfer als gewichtige Informationsquelle für seine Audit-Planung.

Bewertungsmaßstab
 
 

Ausblick

Die Gothaer ist mit dem Einsatz von Auditor als unterstützende Maßnahme in der Organisation der Audits sehr zufrieden und schätzt die Kombination aus IT-Beratung und Softwareangebot.

Individuelle Softwareanpassungen werden von den erfahrenen IT-Spezialisten der FSP jederzeit vorgenommen.

 
 

Kunde

Der Gothaer Konzern gehört mit über vier Milliarden Euro Beitragseinnahmen und rund 3,5 Mio. versicherten Mitgliedern zu den großen deutschen Versicherungsunternehmen. Der Allspartenversicherer bietet flexible Vorsorge- und Finanzkonzepte und -beratung.

Kundenfeedback

"Große Aufgaben bedürfen effizienter Mittel"

Thern Müller, Corporate Security, Gothaer Deutschland

Weitere Referenzen

  • QS-Zertifizierung von sozialen Einrichtungen nach europäischem Standard beschleunigt

    QS-Zertifizierung von sozialen Einrichtungen nach europäischem Standard beschleunigt

    Ziel des Projekts war es, den manuellen Aufwand der QuickScan-Audits zu reduzieren. Ein QuickScan dient als Vorbereitungsaudit für die finale eQuass-Zertifizierung. AUDITOR – DAS AUDITMANAGEMENT hat den bisher per Papierfragebogen durch geführten QuickScan digitalisiert und den organisatorischen Aufwand erheblich gemindert.

  • Ausbau Fondsprodukte (AFP)

    Ausbau Fondsprodukte (AFP)

    Ziel des Projekts AFP (Ausbau Fondsprodukte) war die Erweiterung des neuen Ver­wal­tungssystems Leben (VSL) im Bereich der fondsgebundenen Versicherung. Hier galt es bereits bestehende Geschäfts­prozesse in ihrer Funktionalität zu erweitern bzw. neue Prozesse erstmalig in VSL ein­zuführen. Hierunter fielen insbesondere die Ge­­­schäfts­vorfälle „Fondswechsel“, „Aus­kunft mit Berechnung“, „technische Ver­trags­änderungen“ sowie „Neuzugang mit An­rechnung“.

  • Audit-Tool zur Service-Zertifizierung

    Audit-Tool zur Service-Zertifizierung

    Die Generali Deutschland Informatik Service (GDIS) ist der IT-Dienstleister der Generali Deutschland Gruppe. Im Zuge der Einführung einer service orientierten Architektur wurde deutlich, dass die Qualität erstellter Geschäftsservices geprüft werden muss, um einen langfristigen und nachhaltigen Einsatz zu gewährleisten. Zu diesem Zweck wurde ein Zertifizierungsverfahren ins Leben gerufen, welches mithilfe von Audits die Qualität von Services prüft.