EN
Erfahren Sie, wie Helvetia gemeinsam mit Swiss GRC ein gruppenweites Information Security Management System (ISMS) aufgebaut hat, das nicht nur regulatorische Anforderungen erfüllt, sondern auch Transparenz, Effizienz und nachhaltige Governance schafft.
Ausgangslage und Zielsetzung
Helvetia zählt mit rund 14’400 Mitarbeitenden weltweit zu den grössten Versicherern der Schweiz. Das Unternehmen ist in der Schweiz, in Deutschland, Österreich, Italien, Spanien und Frankreich sowie in internationalen Märkten wie Liechtenstein und Singapur tätig. Mit ihren drei Geschäftsbereichen –Schadenversicherung, Lebensversicherung und Vermögensverwaltung gehört Helvetia zu den am breitesten aufgestellten und international am stärksten tätigen Versicherungen des Landes.
Nur wenige Unternehmen sind bisher so weit gegangen wie Helvetia: Ein dezentrales ISMS, das mehrere Geschäftsbereiche und internationale Standorte umfasst, wurde konzernweit etabliert. Um dieses ambitionierte Ziel zu erreichen, arbeitete Helvetia eng mit Swiss GRC zusammen. Gemeinsam entwarfen und implementierten sie Schritt für Schritt eines der ausgereiftesten ISMS auf dem Markt – ein System, das sowohl zentral gesteuert als auch lokal umgesetzt wird.
Die Zielsetzungen waren klar:
- Konzernweite Konsistenz bei gleichzeitiger lokaler Anpassbarkeit
- Erfüllung regulatorischer Anforderungen der FINMA sowie von DORA und EU-GDPR
- Orientierung an bewährten Standards wie ISO, NIST und ISF
- Aufbau einer klaren Governance-Struktur mit Verantwortlichkeiten auf Gruppen- und Landesebene
Effizienz und Transparenz durch Integration in bestehende Systeme und Automatisierung von Prozessen
Umsetzung und Zusammenarbeit
Neben den klassischen ISMS-Prozessen wurden auch Anforderungen aus dem Datenschutz sowie der physischen Sicherheit in die Lösung integriert. Die enge Verzahnung von Informationssicherheit und Datenschutz ist in vielen Organisationen eine Herausforderung, da Verantwortlichkeiten, Kontrollmechanismen und regulatorische Vorgaben oft parallel, aber nicht abgestimmt behandelt werden. Durch die Integration in ein gemeinsames System konnte Helvetia diese Komplexität reduzieren, Doppelspurigkeiten vermeiden und klare Verantwortlichkeiten etablieren.
Die technische Grundlage bildet ein asset-zentriertes Datenmodell, das Anwendungen, IT-Services, Plattformen und Geschäftsprozesse abbildet. Sämtliche Änderungen, Risiken und Ausnahmen werden direkt an diese Assets gekoppelt, was eine flexible und skalierbare Steuerung ermöglicht.
Besonders prägend war die tiefe Integration in bestehende Systeme:
- LeanIX und ServiceNow für Architektur- und Konfigurationsdaten
- Jira und Tempus für Projekt- und Change-Management
- SAP Ariba für Lieferantenmanagement und jährliche Sicherheitsprüfungen
- Splunk für Vulnerability- und Ausnahmeprozesse
Darüber hinaus wird das ISMS in einer dedizierten Azure-Cloud-Instanz betrieben, die von Swiss GRC gemanagt wird. Sämtliche Daten verbleiben in Europa und sind mit unternehmenseigenen Schlüsseln verschlüsselt – eine zentrale Voraussetzung für die Einhaltung der Schweizer Datenschutzgesetzgebung und die Sicherheit sensibler Daten.
Herausforderungen im Projektverlauf
| Herausforderung | Lösungsansatz |
| Komplexe Konzernstruktur mit internationalen Tochtergesellschaften | Aufbau einer klaren Governance-Struktur mit Group CISO, CISO und lokalen ISOs |
| Unterschiedliche regulatorische Rahmenbedingungen | Orientierung an DORA, GDPR sowie an ISO, NIST und ISF, mit länderspezifischer Umsetzung |
| Heterogene Systemlandschaft | Entwicklung eines asset-zentrierten Datenmodells und Integra-tion bestehender Tools (LeanIX, ServiceNow, Jira, Ariba, Splunk) |
| Hohe Zeitkritik bei der Einführung | Interdisziplinäre Zusammenarbeit, pragmatische Workshops, enge Kooperation mit Swiss GRC |
| Balance zwischen zentraler Steuerung und lokaler Verantwortung | Kombination aus konzernweiter Standardisierung und lokaler Umsetzung durch nationale ISOs |
Schlüsselergebnisse und Mehrwerte
Mit der GRC Toolbox konnte Helvetia ein konzernweites ISMS etablieren, das heute als zentrales Steuerungsinstrument dient und weit über reine Compliance hinausgeht.
Die wichtigsten Mehrwerte sind:
- Compliance by Design: Regulatorische Anforderungen und Standards sind systematisch integriert.
- Effizienzgewinne: Automatisierte Workflows und Schnittstellen entlasten Mitarbeitende.
- Transparenz: Dashboards und Reports schaffen klare Einblicke für Management und Fachbereiche.
- Zukunftsfähigkeit: Ausbau durch automatisierte Kontrollen und Integration von Cloud-Sicherheitsdaten.
Damit ist das ISMS nicht nur eine Antwort auf regulatorische Anforderungen, sondern ein strategischer Enabler für Sicherheit, Resilienz und nachhaltige Unternehmensführung.
