Sjova hat eine Firmenzentrale in der isländischen Hauptstadt Reykjavik, aber Kunden am Ort und in anderen Teilen des Landes werden über ein Netzwerk von fast 60 fest gebundenen Agenten im ganzen Land bedient. Sjova beschäftigt gegenwärtig 180 Leute.

Gestiegener Bedarf nach Datensicherheit

Da Software und Computer heute immer leistungsfähiger werden und die Zahl der Netzwerkverbindungen und Internetanschlüsse immer mehr zunimmt, wächst gleichzeit auch der Bedarf nach einer sicheren Speicherung und Übertragung von Daten und nach sicheren Computeranlagen. Im Gleichschritt mit diesen Entwicklungen wurden auch große Fortschritte bei der Entwicklung der Sicherheit von Informationssystemen gemacht. Diese Tatsache wird durch die zunehmende Einführung von neuen internationalen Normen auf diesem Gebiet bewiesen. Auch die gesetzlichen Auflagen und Bestimmungen auf diesem Gebiet haben zugenommen, besonders diejenigen, die die Behandlung von personenbezogenen Informationen betreffen.

DIE ROLLE VON SJÓVÁ
Die Rolle der Firma Sjóvá besteht darin, alltägliche Gegenstände von persönlichem Wert zu versichern. Mit ihrer Tätigkeit will die Firma diejenige Lebensqualität schaffen und erhalten, die die Menschen für sich suchen.

Die Hauptziele und -politiken von Sjóvá sind:

• Überragender Service
• Unkomplizierte und kosteneffiziente Betriebsabläufe
• Dynamische und unternehmungsfreudige Mitarbeiter
• International orientierte Geschäftstätigkeiten
• Datensicherheit ist ein Schlüsselbereich bei Sjóvá

Sjóvá legt bei der Erfassung und Handhabung von personenbezogenen Daten beträchtliches Gewicht auf Sicherheit und Vertraulichkeit. Die von der Firma erfassten Informationen werden nur bei der Bewertung von Versicherungsansprüchen, beim Abgleich von Entschädigungsansprüchen, zum Zweck der Informierung der Kunden und im normalen Geschäftsbetrieb genutzt. Personenbezogene Informationen werden nie ohne die Zustimmung des betroffenen Kunden an Dritte weitergegeben und wenn dies doch geschieht, dann nur, wenn dies von Gesetz wegen oder durch eine gerichtliche Verfügung gefordert wird.

“Für uns als führendes Versicherungsunternehmen ist Informationssicherheit von größter Bedeutung. Es ist unser Ziel, unseren Kunden überragenden Service zu bieten und die Informationen, die diese uns anvertrauen, in sicherer Verwahrung zu halten. Befragungen von Nutzern der Services der Firma zeigen, dass 98 % der Befragten mit dem, was wir ihnen bieten, zufrieden sind - und dies ist unserer Meinung nach ein gutes Ergebnis.” sagt Þór Sigfússon, CEO von Sjóvá.

Verschlüsselung von elektronischen Kommunikationsinhalten.
Der SSL-Standard, ein international anerkannter Sicherheitsstandard, wird angewendet, wenn vertrauliche Informationen über das Internet übermittelt werden. Alle zwischen dem Benutzer und der Firma Sjova übermittelten Kommunikationsinhalte werden nach diesem Standard verschlüsselt. Auf diese Weise wird sicher gestellt, dass niemand auf Daten zugreifen kann, die an die Firma gesendet werden.

Überwachungsbehörden legen Auflagen fest.
Überwachungsbehörden legen Auflagen fest, die Versicherungsunternehmen und andere Instanzen, die personenbezogene Informationen halten, erfüllen müssen, um die Sicherheit von Daten zu gewährleisten. Die Finanzaufsichtsbehörde erlässt Richtlinien für Firmen im Finanzsektor hinsichtlich der Sicherheit der von diesen gehaltenen Informationen und die Datenschutzbehörde erlegt Firmen, die personenbezogene Informationen nutzen, die Verpflichtung auf, diese Daten sicher zu verwahren und zu behandeln, Risikobewertungen für die Verarbeitung der Informationen durchzuführen, Verfahren und Regeln in einer organisierten Weise dokumentarisch niederzulegen und zu präsentieren und zuletzt auch Geschäftskontinuitätspläne oder so genannte Notfallpläne zu erstellen.

Die Firmenleitung von Sjóvá hat auf die von der Finanzaufsichtsbehörde und der Datenschutzbehörde Islands herausgegebenen Richtlinien zur Implementierung von Informationssicherheit in Übereinstimmung mit der Informationssicherheitsnorm BS 7799 unverzüglich reagiert. Die Firma entschied sich hinsichtlich der Implementierung von Informationssicherheit zur Zusammenarbeit mit der Firma Stiki.

Gleichzeitige Implementierung von Informationssicherheit und einem Qualitätssystem
Es wurde die Entscheidung getroffen, zur gleichen Zeit ein Qualitätssystem nach Norm ISO 9001 zu implementieren. Der erste Schritt bestand in der Erstellung eines webbasierten Organisationshandbuchs, in dem das Qualitätshandbuch und Sicherheitshandbuch verschmolzen wurden. Sjóvá hatte zuvor schon eine erhebliche Menge an Material vorbereitet und besaß professionelles Wissen, während die Berater von Stiki unterstützend bei der Umwandlung von Verfahrensregeln und -prozessen zu praktischen Formblättern mitwirkten und die durch die Normen vorgegebenen Prozesse entwickelten.

Geschäftskontinuitätspläne
Ein wichtiger Teil des Betriebs eines Versicherungsunternehmens ist das Vorhandensein eines Geschäftskontinuitätsplans. Sjóvá hatte bereits Notfallpläne erstellt, mit Hilfe derer der Firmenbetrieb nach einem potentiell katastrophalen Ereignis im Betrieb wieder hergestellt werden sollte. Bei Notfallplänen liegt das Schwergewicht immer auf den Informationsgütern der betroffenen Firma und auf deren Schutz. Mitarbeiter von Stiki veranstalteten für die Vertreter von Sjóvá eine Präsentation über die von Stiki angewandte Methodologie zur Erstellung von Geschäftskontinuitätsplänen und es wurde ein verbesserter Notfallplan in Übereinstimmung mit den von Stiki entwickelten Schablonen und Dokumenten neu erstellt.

Risikobewertung mit RM Studio®
Es wurde eine Risikobewertung für die Informationsverarbeitungsprozesse von Sjóvá durchgeführt. Es wurden Schritte unternommen, um alle Aspekte aufzuzeigen, die die Sicherheit des Systems betrafen und die in den Bereich der Risikobewertung fielen. Dazu wurde die Stiki OutGuard-Software (jetzt RM Studio®) verwendet. Die Software wurde von Stiki entwickelt und ist dafür ausgelegt, Risikobewertungen in Übereinstimmung mit den in der Sicherheitsnorm BS 7799 (jetzt ISO 27001) enthaltenen Bestimmungen durchzuführen. Die Risikobewertung wurde unter Anleitung von Beratern von Stiki im Laufe von Arbeitstreffen durchgeführt. Der Sicherheitsingenieur von Sjóvá bezog je nach Bedarf andere Mitarbeiter von Sjóvá in die Arbeiten mit ein.

Richtiges Projektmanagment ist eine Vorbedingung für den Erfolg
Auf Seiten von Stiki wurde das Projekt in Übereinstimmung mit der PRINCE2-Methodologie durchgeführt und es wurden die in dieser Methodologie enthaltenen Dokumentschablonen verwendet. Die Risikobewertung wurde während Arbeitstreffen durchgeführt, die von einem Berater von Stiki geleitet wurden. Beratung, Projektmanagement und angewandte Verfahren von Stiki waren beispielhaft, ebenso die professionelle Einstellung der Mitarbeiter und deren Haltung und Dienstleistungen während der Abwicklung des gesamten Projekts. Bei der Analyse von Verfahren und bei der Erstellung von Handbüchern und Plänen wurde den speziellen Anforderungen der Firma Rechnung getragen. Das Projekt blieb im Budgetrahmen, obwohl der vorgesehene Zeitrahmen aufgrund der Notwendigkeit der Erstellung von Anhängen zum Organisationshandbuch leicht überschritten wurde. Die Firma Stiki verdient hohe Anerkennung für ihren Beitrag zur Erstellung des Organisationshandbuchs und der Geschäftskontinuitätspläne und zur Durchführung der Risikobewertung bei Sjóvá.