Prototypy, rysunki klientów, cenniki komponentów, restrykcyjne zapisy w umowach z kontrahentami, dostęp do portali klientów, pięciostopniowa klasyfikacja informacji, komputery wspomagające maszyny na produkcji, kontrola dostępu na teren zakładu, sieć produkcyjna, urządzenia mobilne, powierzanie danych dostawcom/podwykonawcom, wizerunek firmy, świadomość wśród pracowników produkcyjnych, projektowanie, prototypownia, monitoring, laboratorium, ciągłość działania, know-how, dokumentacja techniczna, konkurencja… Z tymi wyzwaniami firma Maflow zmierzyła się podczas projektu wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z normą ISO/IEC 27001.

Maflow, jeden z największych producentów przewodów do klimatyzacji, wspomagania kierownicy oraz aktywnego zawieszenia dla przemysłu motoryzacyjnego, od wielu lat jest stałym dostawcą dla największych koncernów samochodowych. Firma posiada dziewięć zakładów zlokalizowanych w siedmiu krajach na trzech kontynentach.

Dlaczego ISO 27001 w automotive?

VDA – ten skrót znają wszyscy dostawcy Grupy Volkswagen, BMW, Forda, Mercedesa, a także innych marek samochodowych. Verband der Automobilindustrie (VDA) – Zrzeszenie Niemieckiego Przemysłu Samochodowego to organizacja z przeszło stuletnią historią i ogromną renomą, zrzeszająca ponad 500 przedsiębiorstw zatrudniających łącznie przeszło 700 tys. pracowników. VDA koncentruje swoje działania na standaryzacji, rozwoju i badaniach w branży motoryzacyjnej. Członkowie zrzeszenia to przedsiębiorstwa mające swoje zakłady na terenie Niemiec, wytwarzające nie tylko produkt finalny, lecz przede wszystkim wszyscy producenci/dostawcy części i komponentów dla przemysłu motoryzacyjnego.

Dostawcy, którzy chcą kooperować z największymi producentami samochodów, są zobligowani do spełnienia wymogów stawianych przez VDA. Jednym z nich jest ochrona prototypów oraz danych Klientów. Ochronę tą kompleksowo zapewnia standard ISO 27001 (zobacz www.vda.de/en/downloads/693/, Prototype Protection – The framework requirements for product security were drawn up on behalf of the VDA Working Group “Integral Information Protection with IT Security, Prototype Protection and Risk Management”. These requirements are intended to act as a basis for product protection in the German automotive industry and to complement the requirements set down in ISO 27001).

Standard ISO 27001 ma jeszcze jeden ogromny atut – szczególnie istotny dla firm, które tak jak Maflow, kooperują z Volkswagenem lub Audi. Ci producenci uznają ważny certyfikat ISO 27001 za dowód poświadczający, że dostawca należycie chroni powierzone mu informacje. A to z kolei zwalnia firmę dostawcy z kosztownego audytu przeprowadzanego przez VW i Audi.

Przykładowy fragment kwestionariusza VDA: Information Security Assessment, bazującego na punktach normy ISO 27001

W symbiozie z innymi systemami

W Maflow wdrażanym standardem objęto polski oddział firmy: zakład w Tychach oraz dwa zakłady w Chełmku. Prace trwały od listopada 2013 do lipca 2014 roku.

Projekt wdrożenia standardu ISO 27001 rozpoczęto do określenia jego celów oraz zidentyfikowania procesów, które następnie objęto system zarządzania bezpieczeństwem informacji (SZBI). Dodatkowo należało uwzględnić integrację SZBI z innymi systemami zarządzania w firmie, m.in: ISO/TS 16949.

Standard ISO/TS 16949 – wymagania wobec systemu jakości dla produktów z zakresu projektowania lub opracowywania, produkcji, instalacji i serwisowania w przemyśle motoryzacyjnym – również nakłada na dostawcę zobowiązania w zakresie bezpieczeństwa informacji. Przykładowe punkty z normy tej normy to:

  • 4.2.3.1 Dokumentacja techniczna;
  • 4.2.4.1 Przechowywanie zapisów – Nadzór nad zapisami powinien spełniać wymagania ustawowe i przepisy oraz wymagania klienta;
  • 7.1.3 Poufność – Organizacja powinna zapewnić poufność w odniesieniu do wyrobów zamówionych przez klienta i opracowanych na jego zlecenie projektów oraz związanych z tym informacji o wyrobie;
  • 7.3.6.2 Program prototypu – Jeżeli usługi mogą być realizowane na zewnątrz, organizacja powinna być za nie odpowiedzialna, w tym za techniczne kierownictwo;
  • 7.5.4 Własność klienta – może obejmować własność intelektualną i dane osobowe.

Bartłomiej Irczyk, Dyrektor IT Grupy Maflow

Bezpieczeństwo nasze i naszych klientów
W Maflow traktujemy certyfikację ISO 27001 jako inwestycję w bezpieczeństwo nasze oraz naszych klientów. Działanie firmy zgodnie z tą normą pozwala nam „spać spokojnie”, a dzięki temu możemy skupić się na najważniejszych aspektach biznesu. Klienci doceniają nasze zaangażowanie w bezpieczeństwo, co owocuje coraz lepszą współpracą na wszystkich polach i poziomach.
System Zarządzania Bezpieczeństwem Informacji pozwolił nam usystematyzować i ustandaryzować wiele obszarów działania firmy. Dla Maflow ISO 27001 to nie tylko procedury i techniczne zabezpieczenia. Z naszego punktu widzenia kluczowe znaczenie miało zbudowanie wśród pracowników Maflow przekonania o doniosłej roli bezpieczeństwa informacji. Cieszę się, że obecnie ta świadomość jest udziałem całej organizacji, bo system nie dotyczy wyłącznie IT. Często zapominamy o tym, że IT jest ważnym, ale nie jedynym obszarem, w którym dbanie o bezpieczeństwo informacji ma doniosłe znaczenie.
Doceniam zaangażowanie i profesjonalizm zespołu BCC (aktualnie All for One Poland). W przyszłości będziemy korzystać z dalszego ich wsparcia. Teraz skupiamy się na utrzymaniu certyfikatu i „okrzepnięciu” standardu w naszych jednostkach, ale dalszy rozwój systemu to kolejny krok, który jest dla nas oczywistą konsekwencją tego pierwszego.
Bartłomiej Irczyk, Dyrektor IT Grupy Maflow

Faza po fazie

Po powołaniu zespołu projektowego oraz forum zarządzania bezpieczeństwem informacji (FZBI) określono zakresy ich obowiązków. Harmonogram projektu podzielono na cztery fazy.

W pierwszej fazie przygotowano następujące produkty:

  • raport z audytu wstępnego,
  • procedury systemowe,
  • polityka bezpieczeństwa informacji,
  • zakres SZBI ISO/IEC 27001,
  • zarządzenie powołujące forum SZBI,
  • zarządzenie powołujące pełnomocnika SZBI,
  • plan szkoleń.

Produkty drugiej fazy projektu to:

  • procedura klasyfikacji informacji i aktywów,
  • szablony identyfikacji informacji i aktywów,
  • procedura zarządzania ryzykiem,
  • macierz ryzyka,
  • plan postępowania z ryzykiem.

W fazie trzeciej nastąpiło testowanie procesów poprzez audyty, działania korygujące i naprawcze w poszczególnych jednostkach Maflow objętych wdrożeniem, a także prezentacja i szkolenia z SZBI wszystkich członków organizacji (szkolenia z wdrożonego systemu). Produkty trzeciej fazy projektu to:

  • deklaracja możliwości stosowania,
  • procedury operacyjne, polityki i instrukcje dla poszczególnych domen:
    • A.5 Polityka Bezpieczeństwa,
    • A.6 Organizacja bezpieczeństwa,
    • A.7 Zarządzanie aktywami,
    • A.8 Bezpieczeństwo zasobów ludzkich,
    • A.9 Bezpieczeństwo fizyczne i bezpieczeństwo środowiska,
    • A.10 Zarządzanie komunikacją i operacjami,
    • A.11 Kontrola dostępu,
    • A.12 Pozyskanie systemów informacyjnych, ich rozwój i utrzymanie,
    • A.13 Zarządzanie incydentami,
    • A.14 Zarządzanie ciągłością działania,
    • A.15 Zgodność z prawem.

W czwartej, ostatniej fazie projektu przygotowano:

  • plan audytów wewnętrznych ISO/IEC 27001,
  • raport z audytów wewnętrznych ISO/IEC 27001,
  • certyfikaty audytora wewnętrznego ISO/IEC 27001,
  • plan szkoleń oraz oceny szkoleń,
  • raport z przeglądu SZBI ISO/IEC 27001.

Zwieńczeniem projektu był audyt certyfikujący, który odbył się w dniach 22-25 lipca 2014 r. Audyt przeprowadziła jednostka certyfikująca TUV Nord Polska. Certyfikat ISO 27001 stanowi dla klientów Maflow potwierdzenie, że firma stosuje się do restrykcyjnej polityki bezpieczeństwa informacji, a troska o powierzone jej wrażliwe dane jest w firmie priorytetem.

Maflow jest jednym z największych producentów przewodów do klimatyzacji, układów hamulcowych, wspomagania kierownicy oraz aktywnego zawieszenia dla przemysłu motoryzacyjnego. Odbiorcami produktów są największe światowe koncerny samochodowe m.in.: Grupa Volkswagen, Renault Nissan, Jaguar Land Rover, PSA Peugeot Citroën, Volvo, BMW, Fiat-Chrysler oraz producenci samochodów ciężarowych, tj. Volvo Truck, Renault Truck, Scania, DAF Trucks. Od 2010 r. właścicielem spółek Maflow w Polsce, Francji, Hiszpanii i we Włoszech oraz zakładów w Brazylii, Chinach i Indiach jest Grupa Boryszew.