ISO-sertifiointi (IT)
Haastattelussa DACHSER IT:n tietoturva-asiantuntija Christian von Rützen
Miksi DACHSER hankki keskitetyille IT-järjestelmilleen ISO 27001 -sertifioinnin?
Sertifioinnissa on ensisijaisesti kyse asiakkaistamme. He antavat meille arkaluonteisia yritystietojaan ja myös luottavat meidän käsittelevän niitä vastuullisesti. Kansainvälisenä logistiikkapalveluiden tarjoajana meidän tulee täyttää tietoturvavaatimukset ja myös osoittaa se vakuuttavasti. ISO 27001 on kansainvälisesti tunnustettu tietoturvastandardi, jonka avulla kaikki puhuvat samaa kieltä. ISO-sertifiointi vahvistaa, että DACHSERilla tiedot ovat hyvissä käsissä.
Muita syitä ISO-sertifioinnin hankkimiseen olivat toiminnan optimointi ja tehostaminen. Vaikka olemme suojanneet IT-järjestelmiämme jo vuosikymmenen ajan, haluamme jatkuvasti parantaa käyttämiämme teknisiä ratkaisuja ja prosesseja. Lisäksi sertifiointi yksinkertaistaa muun muassa tavallisia auditointimenettelyjä sekä esimerkiksi AEO-sertifiointia.
Kuinka tärkeää tietoturva on logistiikassa?
Se on niin tärkeää, että globaaleja tietoturvamenettelyjä vaaditaan lähes jokaiselta uudelta liiketapahtumalta ja auditointien yhteydessä myös vanhoilta asiakkailta. Lisäksi suuri osa tilaustiedoista välitetään nykyään sähköisessä muodossa – ja määrä vain kasvaa. Asiakkaat tietävät, että heidän omat prosessinsa riippuvat DACHSERin järjestelmien saatavuudesta. Erityisesti elintarvikesektorilla täytyy jatkuvasti huolehtia pilaantuvien tuotteiden oikea-aikaisesta noudosta. Jos kuljetusauto ei saavu ajoissa, tuotantolinja ruuhkautuu ja tuotanto pysähtyy. Samoin autoteollisuuden toimittajan varastosta huolehdittaessa osat täytyy toimittaa kokoonpanoon juuri oikeaan aikaan, jottei tuotanto häiriinny.
Kattaako sertifiointi vain Kemptenissä toimivan IT-keskuksen?
Olemme hankkineet sertifioinnin yhtiömme keskitetyille IT-palveluille, palvelinkeskuksille, infrastruktuurille ja erikoistuneille IT-toiminnoille. DACHSER IT:n keskeinen ominaispiirre on toimintojen keskittäminen, ja sitä kautta myös yhtenäisyys ja syvä integrointi. Kemptenissä toimiva IT-keskuksemme suunnittelee ja kehittää sisäisesti kuljetus- ja varastonhallintajärjestelmiä sekä eLogistics-verkkosovelluksia, jotka tuomme käyttöön maailmanlaajuisesti. Tässä mielessä sertifioinnilla on todella kansainvälinen vaikutus. Olemme askeleen edellä useimpia kilpailijoitamme, jotka ovat hankkineet sertifioinnin IT-järjestelmiensä yksittäisille, keskittämättömille osille, jos niillekään. Meidän näkökulmastamme keskitetyn järjestelmän sertifiointi on järkevää: Yhtiömme tavoin myös asiakkaamme toimivat globaalisti, joten he haluavat luottaa samoihin tietoturvastandardeihin kaikkialla, missä he asioivat DACHSERin kanssa.
Kattava sertifiointi on varmasti ollut monimutkainen prosessi.
Aivan oikein. Kaksivaiheinen auditointi kesti noin puoli vuotta. ISO 27001 -sertifiointi varmistaa, ettei yhtiö kohenna toimintaansa vain hetkellisesti. Sertifiointi voidaan säilyttää vuosittain vain tietoturvaprosessien jatkuvalla kehittämisellä. Tavoitteemme on kehittää toimintaamme kaikilla osa-alueilla, ja TÜV SÜD:n auditoijat ovat antaneet meille erinomaisia ehdotuksia.
ISO 27001
ansainvälisesti tunnustettu ISO 27001 -standardi (nykyinen versio: ISO/IEC 27001:2005) kuvaa tietojen turvallista käsittelyä yhtiössä. Sertifiointi kattaa tietoturvan tekniset näkökulmat, kuten virustorjunnan, roskapostisuojauksen ja internetsovellusten turvallisuuden sekä vikasietoisuuden ja hätätilanteisiin varautumisen, ja myös organisatoriset näkökulmat, kuten ulkopuolisten IT-palveluntarjoajien tai konsulttien salassapitosopimukset sekä IT-järjestelmien käyttäjien ohjeistuksen.
Standardi edellyttää kaikilla tasoilla riskienhallintajärjestelmää, jolla voidaan riittävällä tavalla luokitella erilaiset riskit ja hallita niitä. Lisäksi ISO 27001 -sertifiointi edellyttää prosessien jatkuvaa kehittämistä. Uudelleensertifiointia varten täytyy läpäistä vuosittainen tarkistus, jossa tulee osoittaa tietoturvatoimintojen riittävä kehitys.
IT-järjestelmien sertifiointi on vain yksi DACHSERin maaorganisaatioissa käytettävistä sertifioinneista ja arvioinneista.