Veiligheid voorop
Interview met Christian von Rützen, IT-veiligheidsadviseur bij DACHSER.
Waarom heeft DACHSER zijn centrale IT-services laten certificeren volgens ISO 27001?
Wij hebben dit gedaan met het oog op onze klanten. Zij geven niet alleen gegevens aan ons door, ze vertrouwen er ook op dat wij op een verantwoorde wijze omgaan met hun vertrouwelijke bedrijfsinformatie. Als een internationale logistieke dienstverlener moeten we voldoen aan de vereisten voor informatiebeveiliging en moeten we dat eveneens kunnen onderbouwen. ISO 27001 is de internationaal erkende standaard voor informatiebeveiliging. De ISO-certificering onderstreept het volgende: Gegevens zijn bij DACHSER in veilige handen.
Optimalisatie en efficiëntie zijn bijkomende redenen voor de ISO-certificering. Zelfs 10 jaar na de ingebruikname van een IT-beveiligingssysteem streven wij continu naar een verfijning van onze technologie en processen. Het certificaat vereenvoudigt daarnaast normale auditprocessen bij certificeringen zoals AEO.
Hoe belangrijk is informatiebeveiliging voor logistiek?
Het is in die mate belangrijk dat er bij nagenoeg iedere nieuwe zakelijke transactie naar het wereldwijde beveiligingsconcept wordt geïnformeerd. Ook bij bestaande klanten is dit het geval bij audits met een waslijst aan vragen. Het is ook belangrijk om te weten dat een groot gedeelte van de ordergegevens tegenwoordig elektronisch wordt verzonden en dat deze hoeveelheid blijft stijgen. Klanten weten dat hun eigen processen afhankelijk zijn van de beschikbaarheid van de DACHSER-systemen. Vooral in de voedingssector moeten bederfelijke goederen voortdurend en tijdig worden opgehaald. Als een vrachtwagen niet aankomt, treedt er al snel een achterstand in de productielijn op en staat het proces stil. Of in het geval van een warehouse voor een automobielleverancier: Als de onderdelen niet just-in-time bij het assemblagegebied worden bezorgd, valt de productie stil.
Is deze certificering alleen van toepassing op het IT-center in Kempten?
Wij hebben onze centrale IT-services, datacenters, infrastructuur en specialistische IT-gebieden gecertificeerd. Kenmerkend voor DACHSER-IT is echter de verregaande mate van centralisatie en dus de consistentie en de mate van integratie. Het IT-center in Kempten definieert en ontwikkelt de systemen voor transport- en warehousebeheer en de eLogistics-internettoepassingen intern en maakt deze wereldwijd beschikbaar voor gebruik. In dit opzicht heeft de certificering een onmiskenbare internationale dimensie. We gaan een stapje verder dan het merendeel van onze concurrenten die slechts afzonderlijke, gedecentraliseerde gedeelten van hun IT-afdeling hebben gecertificeerd (als er al sprake is van certificering). Voor ons is centrale certificering zinvol: Onze klanten opereren, net als wij, wereldwijd en willen wanneer ze met DACHSER werken overal kunnen vertrouwen op dezelfde veiligheidssstandaarden.
Deze uitgebreide certificering is een complexe aangelegenheid.
Het tweeledige auditproces nam ongeveer zes maanden in beslag. Waarbij we duidelijk moeten stellen: De certificering volgens ISO 27001 is niet bedoeld als een momentopname waarvoor we ons tijdelijk opdoffen. De jaarlijkse audit kan alleen worden doorstaan en de certificering kan alleen worden vernieuwd, als er sprake is van consistente verbeteringen in het veiligheidsproces. Wij streven er naar om op elk punt verbeteringen aan te brengen. De auditors van TÜV SÜD hebben ons daartoe een aantal zeer goede suggesties gegeven.
ISO 27001
De internationaal erkende standaard ISO 27001 (huidige versie: ISO/IEC 27001:2005) beschrijft de veilige hantering van informatie binnen een bedrijf. De inhoud van de certificering heeft betrekking op alle aspecten van informatiebeveiliging: van de technische methoden van virusbeveiliging, spambeveiliging en beveiliging van de internettoepassingen tot faalveiligheid en planning voor noodgevallen, tot organisatieaspecten, zoals vertrouwelijkheidsvoorschriften ten aanzien van externe IT-serviceproviders en consultants of richtlijnen voor IT-gebruikers.
Wat betreft de diepte van de inhoud, vereist de standaard een risicobeheersysteem op alle niveaus, zodat de veelheid aan risico's op een correcte wijze kan worden geclassificeerd en beheerd. Verder is de certificering volgens ISO 27001 opgezet als een proces voor voortdurende verbetering. Tijdens de jaarlijkse audit moet de voortgang ten aanzien van informatiebeveiliging worden onderbouwd om de certificering te behouden.
De IT-certificering is slechts één component in een veelheid van certificeringen en beoordelingen in de verschillende DACHSER-organisaties.