Hur Autotech Group driver kontinuerlig förbättring av informationssäkerhet med ISO 27001

Autotech Group, en specialist inom fordons- och mobilitetssektorn, består av fyra varumärken: Autotech Recruit, Autotech Training, Autotech Academy och Autotech Connect.

Företaget är ett prisbelönt specialiserat konsultföretag som driver innovation inom fordons- och mobilitetssektorn i stort. Genom skräddarsydda lösningar byggda kring företagets tre kärnkompetensområden – människor, kompetens och teknik – tar de itu med en av branschens mest akuta utmaningar: den växande bristen på arbetskraft.

Autotech Group-teamet behövde uppnå ISO 27001-efterlevnad som en del av sin strategiska strategi för informationssäkerhet.

 De visste att genom att bygga, underhålla och förbättra ett ISO 27001-kompatibelt informationssäkerhetsledningssystem (ISMS) kunde de säkerställa att företagets strategi för informationssäkerhet var i linje med bästa praxis.

ISO 27001-certifiering skulle också göra det möjligt för Autotech Group att visa för intressenter att verksamheten uppfyllde centrala informationssäkerhetskrav. Många av Autotech Groups leverantörer och partners krävde bevis på efterlevnad av informationssäkerhetskrav, med krav som ofta gick utöver ramen för grundläggande säkerhetsramverk som Cyber ​​Essentials och Cyber ​​Essentials Plus.

Detta gjorde det avgörande för fortsatt framgång att demonstrera effektiva informationssäkerhetsåtgärder: ISO 27001-certifiering skulle vara en katalysator för tillväxt.

Men i takt med att teamet utvecklade sin interna expertis inom ISO 27001 behövde de ytterligare stöd för att genomföra implementeringen och en plattform för att konsolidera efterlevnadsprocessen.

Teamet anlitade expertisen hos informationssäkerhetskonsulterna SGG och utnyttjade IO-plattformen för att centralisera sin efterlevnadshantering.

Internt ansvarade Autotech Groups projektledare, Nadège, för dedikerad projektledning. Hon anpassade ISO 27001-projektets struktur och ansvarsområden till interna resurser och affärskrav för att i slutändan säkerställa en framgångsrik certifiering. Chris Gill, chef för cybersäkerhet, GRC och revision på SGG, gav stöd genom hela certifieringsprocessen. Han arbetade med Autotech Group-teamet för att diskutera områden i standarden som var något tvetydiga och delade bästa praxis för implementering. Chris sa: ”Både Jack och Nadège hade hög kompetens när det gällde informationssäkerhet. SGG:s roll var att ge klarhet i de tekniska kraven i ISO 27001:2022 och ge råd om hur man effektivt implementerar och uppfyller kraven.”

Jack och Nadège använde IO:s 11-stegs Assured Results Method (ARM) för att ha en strategisk strategi för implementeringen. De använde även plattformens inbyggda policy- och kontrollmallar och anpassade dem för att säkerställa att de var specifika för verksamhetens sammanhang.

Med hjälp av IO-plattformen kunde Autotech Group även kartlägga krav mellan ISO 27001 och ISO 9001, kvalitetsledningsstandarden, och anpassa kontroller där de överlappade. Detta förhindrade dubbelarbete och effektiviserade efterlevnadshanteringen mellan de två standarderna.

Med denna helhetssyn på efterlevnad av regler och krav, oavsett om det gäller människor, processer eller plattform, uppnådde Autotech Group ISO 27001-certifiering på 11 månader.

Verksamheten har nu ett robust ISMS, och teamet fortsätter att utveckla sin strategi för informationssäkerhetshantering och följer ISO 27001-kravet på kontinuerlig förbättring. Autotech Recruit är nu ett av de enda rekryteringsföretagen i sin storlek som har både ISO 27001- och ISO 9001-certifiering, vilket återspeglar teamets engagemang för kvalitet och säkerhet.

Medan en framgångsrik ISO 27001-certifiering var det centrala målet, delade Jack med sig av att det var lika viktigt att standardens bästa praxis tillämpades effektivt i hela verksamheten:

Autotech Group har bokat sina kommande tre revisioner med SGG för att säkerställa fortsatt efterlevnad och utveckla mognaden hos deras ISMS. Jack sa: ”En av de saker jag tyckte var mest användbar med att arbeta med SGG är att diskutera den förväntade mognadsnivån för ett ISMS under resans gång.”

Teamet arbetar med Autotech Groups GDPR-efterlevnad under de kommande månaderna.

Med hjälp av IO-plattformen planerar de att börja med en gapanalys för att identifiera var de kontroller de implementerade för ISO 27001-certifiering kan anpassas till GDPR-kraven och var mer arbete krävs.