Under Taipuva Polarion Days 2024 tog Taipuvas team upp företagets egna erfarenhet av att använda Polarion för riskanalys och krav på spårbarhet. Teamet delade med sig av insikter från arbetet med detta och diskuterade allt från valet av tillvägagångssätt till metoder och resultat.
– Vi ville själva genomföra implementeringen av ISO 27001 och insåg potentialen i att använda Polarion för riskanalysen och för att etablera ett spårbart ledningssystem. Under det senaste året har vi lagt vårt fokus på detta och här är resultatet.
Cybersäkerheten integrerad i arbetsprocesserna
Ola Larses, ledande ALM-konsult på Taipuva, diskuterade den viktiga roll som de olika säkerhetskraven spelar för både processer och produkter, särskilt med den nyligen införda Cyber Resilience Act (CRA). Även om lagstiftningen är vag, betonades dess betydelse för att med lagligt stöd kunna kräva att företag faktiskt agerar. Effekterna av NIS2-lagstiftningen togs också upp och vikten av att följa ISO 27001-standarder för att uppfylla dess krav poängterades.
– På Taipuva har vi en unik inställning till cybersäkerhet. Istället för att bara bedöma nuvarande status och sårbarheter fokuserar vi på att bygga upp cybersäkerheten genom våra arbetsprocesser
Denna princip har även varit vägledande för Taipuvas tillvägagångssätt för att följa ISO 27001, där fokus har legat på att smidigt integrera cybersäkerhet i arbetsflöden och säkerställa att föreskrifterna efterlevs. Genom att identifiera externa hot och förstå lagstiftningen och kundens behov har kraven fastställts med betoning på spårbarhet genom verifierings-, implementerings- och förbättringsfaserna.
RISKSHEET och felträdsanalys
I arbetet med certifieringsprocessen har Taipuva breddat sitt fokus genom att även inkludera styrning och processaktiviteter, samt använda avancerade riskanalysverktyg som riskartefakter och Nextedys RISKSHEET. Denna strategiska förändring har möjliggjort en mer effektiv hantering av krav, verifiering, validering och risker inom plattformen.
Carl-Philip Forss, ALM-konsult på Taipuva Sweden, visade hur en felträdsanalys fungerar som ett viktigt verktyg för riskbedömning, integrerat i arbetsobjektshanteringen i Polarion. Under denna del fick deltagarna lära sig hur denna metod bryter ned händelser i faktorer och potentiella utfall.
– Med detta enkla verktyg kan vi förbättra Polarions funktionalitet och använda inbyggda funktioner som ändringskontroll och påverkansanalys
Hantering av produkt- och processkrav
Ola Larses gick sedan igenom den komplicerade hanteringen av produkt- och processkrav på ett separat sätt. Han förklarade olika metoder för att samla in och koppla faror och betonade att både risker och möjligheter kan adresseras i både produkt- och processkrav. När det gäller processkraven förklarade han att de kan innebära antingen enstaka riskhanteringsaktiviteter eller återkommande processaktiviteter som dokumenterats i förvaltningssystemet.
Ola poängterade även betydelsen av att strukturera upp ett digitalt ledningssystem, särskilt när det gäller att implementera ISO 27001 med hjälp av Polarion. Här förklarade han delarna i ett ledningssystem och hur man applicerar dessa begrepp i Polarion. Fokus låg på att integrera arbetsuppgifter för processer och operativa roller som den centrala strukturen i Taipuvas ledningssystem.
En lyckad certifiering
I slutet av presentationen skisserade Ola upp hur man etablerar regler som följer lagar och mål inom Polarion, samtidigt som man använder användarobjekt och arbetsobjekt för att spåra utbildning och efterlevnadsmått. Han betonade även vikten av att upprätthålla ett komplett integrerat ledningssystem som möter regelkrav och säkerställer täckning av alla nödvändiga kontroller. Hur gick det med certifieringen då?
– Certifieringsrevisionen gick smidigt. Vi tillhandahöll revisorn länkade bevis för alla kontroller, vilket ledde till en lyckad certifiering. Nu när vårt ledningssystem är i drift, med ändringskontroll, uppföljning av utbildningar och omfattande rapportering har vi allt vi behöver för att fortsätta arbeta på ett bra sätt.
Ola Larses
När en deltagare under den efterföljande frågestunden undrade kring affärsfördelarna med att implementera standarden, svarade Ola:
– Det är verkligen värt mödan, efteråt blir allt mycket smidigare. Nu har vi på Taipuva ett enhetligt arbetsflöde över hela företaget, vilket har förbättrat hanteringen av våra egna tillgångar. Dessutom ger en sådan här strukturerad metod oss en känsla av trygghet.
Revolutionizing Cybersecurity – our approach to systematic digital information security
In a rapidly evolving digital landscape, cybersecurity has never been more critical. With new regulations impacting every industry and a growing demand for ISO 27001 certification from larger clients – organizations are seeking innovative solutions. This article explores key insights from our recent webinar, introducing our groundbreaking management system tailored for NIS2 security requirements.