Grundfos opnår ISO 27001-certificering gennem strategisk samarbejde og forretningsfokuseret forandringsledelse
Med hjælp fra kaastrup|andersens erfarne projektleder og rådgiver opnår Grundfos en ISO 27001-certificering inden for en stram tidsramme.
Projektet styrker informationssikkerheden, skaber organisatoriske forbedringer og sikrer compliance. Den store succes med projektet skyldes i høj grad, at der ikke kun fokuseres på teknik og systemer, men på at skabe reel forretningsværdi gennem tæt samarbejde, ærlig rådgivning og strategisk forandringsledelse.
Læs hele casen nedenfor eller download casen som pdf og få indsigt i certificeringsprocessen.
Fra venstre mod højre:
Thomas Hæstrup, Senior Consultant, kaastrup|andersen a/s
Jonas Åkeson, Vice President, Digital Development, Grundfos
Peter Budolfsen, Senior Project Manager, kaastrup|andersen a/s
Vil du vide mere?
Tak for din henvendelse
Vi vender tilbage til dig hurtigst muligt.
Udfordring: Et komplekst projekt med høje ambitioner
Grundfos beslutter i slutningen af 2022 at implementere ISO 27001 som en del af deres digitale strategi.
Målet er at styrke virksomhedens informations- og cybersikkerhed og opfylde stigende kundekrav til compliance.
Opgaven er at etablere et informationssikkerhedsledelsessystem (ISMS), der favner hele virksomheden, herunder governance, politikker og processer i relation til information- og cybersikkerhed. Og at implementere politikker og processer inden for certificerings-scopet.
Certificerings-scopet er: Udvikling, drift, vedligeholdelse og support af digitale produkter og løsninger.
Succeskriterier:
- Byg på eksisterende: Leverancerne skal tage udgangspunkt i eksisterende politikker og forretningsprocesser og integreres med Grundfos’ eksisterende ledelsessystemer (Integrated Management System og Quality Management System).
- Skalerbarhed: Det er væsentligt at skabe en praktisk og skalerbar løsning, der er anvendelig i hverdagen, og som kan implementeres i en større del af virksomheden i fremtiden.
- Reelle forbedringer: Certificeringen skal føre til konkrete forbedringer, der styrker modenheden og sikkerheden, fremfor blot at være en compliance-øvelse.
- Stram tidsplan: Certificeringen skal være en realitet inden udgangen af 2024.
Udfordringer:
- Tværorganisatorisk opgave: Grundfos’ størrelse og globale organisering gør projektet komplekst. Størrelsen på og den tværorganisatoriske natur af interessentlandskabet kræver engagement og forventningsafstemning på ledelsesniveau, samt omfattende opfølgning og koordinering på operativt niveau for at lykkes.
- Rådighed af ressourcer: Rådigheden af interne nøgleressourcer er en dimensionerende faktor, hvilket skal tages i betragtning ved udarbejdelsen af projektplanen.
Grundfos beder kaastrup|andersen om hjælp i form af en erfaren projektleder og en ISO 27001-specialist for at sikre projektets succes.
"Under kaastrup|andersens ledelse og rådgivning har vi gjort betydelige fremskridt med at forbedre vores informationssikkerhedsramme. Deres strategiske vision, strukturerede tilgang og evne til at tackle udfordringer har virkelig været bemærkelsesværdige."
Jonas Åkeson
Vice President, Digital Development, Grundfos
Løsning: En helhedsorienteret tilgang til projektledelse
kaastrup|andersens erfarne projektleder og ISO 27001-specialist driver projektet med en tilgang, der fokuserer lige så meget på mennesker og forretningsprocesser som på teknologi.
De ved, at det kræver mere end blot at vælge de rigtige systemer. For at lykkes kræver det forandringer i Grundfos’ måde at arbejde på, de definerede roller og ansvar, og ikke mindst ændringer i menneskers adfærd.
En skræddersyet projektmetode:
Overordnet anvender projektlederen fra kaastrup|andersen PRINCE2, som projektmodel. Projektplanen er dog i høj grad bygget op omkring kravene i ISO 27001-standarden, under hensyntagen til organisationens niveau af informationssikkerhed, rådige ressourcer og ikke mindst ambitionsniveau.
Målet om en certificering inden udgangen af 2024 kræver en fleksibel plan, men stram styring.
Planlægningen er en kompleks proces, der kræver en dybdegående forståelse af Grundfos’ organisation, interessenter og forretningsprocesser.
Med en klar projektplan, omfattende interessenthåndtering og løbende projektrisikohåndtering sikrer projektlederen fra kaastrup|andersen i samarbejde med Grundfos, at løsningerne både lever op til ISO 27001-standarden og skaber reel forretningsværdi.
"Det er helt afgørende for projektets succes, at vi holder fokus på mennesker og forandringsledelse for at sikre, at alle medarbejdere forstår formålet med ISO 27001-certificeringen. Det handler om at skabe en kultur, hvor informationssikkerhed bliver en naturlig del af hverdagen. Implementeringen af ISO 27001 ændrer den måde, virksomheden arbejder på, og det er derfor afgørende at sikre, at alle medarbejdere forstår formålet, baggrunden og betydningen af disse ændringer."
Peter Budolfsen
Senior Project Manager, kaastrup|andersen a/s
Forarbejdet indebærer, at:
- Skabe overblik over den organisatoriske kontekst, herunder interessentanalyse samt afdækning af roller og ansvar
- Etablere en styregruppe samt udarbejde business case og scope
- Udarbejde en GAP-analyse
- Etablere en projektgruppe
Planen i korte træk:
- Etablering af en risikostyringsproces og identifikation af informationsaktiver (assets)
- Risikovurderinger og justering af informationssikkerhedspolitikker med udgangspunkt i alle 93 kontroller i ISO 27001-standarden
- Trinvis implementering af krav fra politikker i forretningens processer sikrer fleksibilitet i planen og fordeling af ressourcetrækket på nøglepersoner over tid.
- Løbende interne audits for at evaluere implementeringsindsatsen sikrer den rette prioritering
”Det er en udfordrende opgave at etablere en projektgruppe og styregruppe i en kompleks organisation med distribueret ansvar, hvor roller og ansvarsområder overlapper på tværs af organisatoriske enheder og ledelsesniveauer. Resultatet er et meget stort stakeholderlandskab og en tilsvarende stor styregruppe med mange forskellige interesser.”
Peter Budolfsen
Senior Project Manager, kaastrup|andersen
Flere iterationer
En opgave af denne karakter kræver et konstant forandringsberedskab hos projektleder og organisationens interessenter, samt genbesøg af tidligere antagelser og justeringer på den baggrund.
Det afføder bl.a. behov for løbende:
- Træning og uddannelse af medarbejdere og ledere
- Arbejde med at justere governance, roller og ansvar både horisontalt og vertikalt
- Tilpasning af forretningsprocesser og procedurer
”Vi udfordrer Grundfos’ eksisterende processer, når det er nødvendigt, og tilbyder ærlig og modig rådgivning. Målet er at skabe de bedst mulige løsninger, der både er praktiske og værdiskabende."
Thomas Hæstrup
Senior Consultant, Specialist in the ISO 27001 standard, kaastrup|andersen a/s
Resultat: En certificering, der skaber værdi
Certificering uden anmærkninger
Grundfos opnår, i november 2024, efter to eksterne audits, deres mål om ISO 27001-certificering inden for “Udvikling, drift, vedligeholdelse og support af digitale produkter og løsninger”.
“Implementeringen af ISO 27001 hjælper os med at overholde lovgivningsmæssige krav, opbygge tillid hos interessenter og opnå en konkurrencemæssig fordel.
Certificeringen forbedrer vores brand-omdømme, reducerer sandsynligheden for dyre sikkerhedsbrud og fremmer en kultur af sikkerhed inden for organisationen.
Implementeringen skaber også en øget bevidsthed om formål og væsentlighed af informations- og cybersikkerhed på tværs af organisationen, samt et fælles sprog og fora til at adressere informations- og cybersikkerhed på tværs af organisationen.”
Jonas Åkeson
Vice President, Digital Development, Grundfos
Kernen af certificeringen
ISO 27001-certificering betyder, at Grundfos overholder de højeste internationale standarder for ledelse af informationssikkerhed. Det viser Grundfos’ engagement i forhold til at beskytte følsomme data, håndtere risici effektivt og løbende forbedre sikkerhedspraksis.
ISO 27001-certificeringen sikrer, at Grundfos’ udviklingsprocesser, digitale produkter og løsninger er bygget med sikkerhed som kerne. Det forbedrer Secure Software Development Lifecycle (SDLC), hvilket sikrer, at Grundfos’ digitale produkter og løsninger er sikre fra designfasen og effektivt beskytter kundedata.
Det understøtter også den kontinuerlige forbedring af Grundfos’ sikkerhedspraksis for at tilpasse sig det skiftende trusselslandskab, hvilket gør deres digitale produkter og løsninger mere pålidelige og troværdige.
"For vores kunder giver opnåelse af ISO 27001-certificeringen sikkerhed for, at deres data håndteres med den største omhu og sikkerhed.
Det opbygger tillid og selvtillid, hvilket viser, at vi prioriterer deres privatliv og er dedikerede til at beskytte deres information mod potentielle trusler.”
Jonas Åkeson
Vice President, Digital Development, Grundfos
Thomas Tengstedt
Sales Manager
Mail: tte@kaastrupandersen.dk
Telefon: +45 5093 7243
Se alle vores cases på kaastrupandersen.dk/cases.
Vil du vide mere?
Tak for din henvendelse
Vi vender tilbage til dig hurtigst muligt.