Als Software-Dienstleister sind Sie täglich von einer Vielzahl an vertraulichen Informationen und Daten umgeben, welche uns die Kunden anvertrauen. Dabei geht es um Inhalte, Nachrichten, aber auch um personenbezogene Daten mit besonders schützenswerter Eigenschaft.
Ein verantwortungsbewusster Umgang mit diesen Daten ist wichtiger denn je, denn die Aspekte Vertraulichkeit, Verfügbarkeit und Integrität gewinnen in dem Zusammenhang für uns, aber eben auch für viele Kunden immer mehr Bedeutung.
Mit einer Zertifizierung nach ISO 27001 können wir die Wirksamkeit unserer Sicherheitsprozesse und -maßnahmen objektiv und glaubwürdig nachweisen. Dieser weltweit anerkannte Standard definiert die Anforderungen, die an die Einführung, Umsetzung, Dokumentation und Verbesserung eines ISMS (gleich dazu unten mehr) gestellt werden.
Der ISO27001 Standard
Die internationale Norm ISO/IEC 27001 (mehr dazu hier) spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation. Zusätzlich beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen des Unternehmens. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.
Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche in die Gegebenheiten der einzelnen Organisationen eingebunden werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.
Einführung und Verbesserung des ISMS
Ein zentraler Aspekt ist die Einfürhung eines umfassenden ISMS. Ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) unterstützt uns dabei, Schwachstellen innerhalb unserer Strukturen zu schließen und Sicherheitsrisiken zu minimieren. Die Kriterien für Aufbau, Einführung, Betrieb, Überwachung und kontinuierliche Verbesserung eines dokumentierten ISMS definiert ISO 27001.
Gesetzliche, regulatorische und vertragliche Regelungen eingeschlossen, definiert ISO 27001 alle Anforderungen, die an den Aufbau, die Einführung, Umsetzung, betriebliche Überwachung und Dokumentation unseres ISMS gestellt werden. Dabei werden bestehende Risiken für Ihr Unternehmen identifiziert, analysiert und durch qualifizierte Maßnahmen behoben. Das betrifft neben Hackerangriffen auch andere Störungen, die zu ungeplanten Unterbrechungen von Prozessen führen oder gar den Geschäftsbetrieb lahmlegen.
Mehr als nur IT
Die ISO 27001 ist nicht nur auf IT-Prozesse beschränkt, sondern berücksichtigt auch Aspekte der Infrastruktur wie Organisation, Personal und Gebäude. Vieles davon ist heute schon transparent und umfangreich in unserem Technischen und organisatorischen Massnahmendokument (mehr dazu siehe hier) dargelegt, aber wir glauben, dass eine externe Zertifizierung immer einen guten, zusätzlichen Schritt in Richtung Vertrauen liefert.
Das Plan-Do-Check-Act-Modell, das der ISO 27001 zugrunde liegt, garantiert dabei vor allem auch eine kontinuierliche Verbesserung. Es geht also nicht um eine einmalige Bestandsaufnahme, sondern, um ein kontinuierliches Niveau, welches immer wieder nachgeschärft und auch immer wieder durch externe Auditoren geprüft wird.
Externer Zertifizierungsaudit
Seit Anfang 2022 beschäftigen wir uns intensiv mit den Anforderungen der Zertifizierung. Ein eigenes Team überprüft Prozesse, optimiert technische Strukturen, entwickelt und schreibt Dokumentation und Vorgaben und koordiniert die interne Kommunikation in Richtung der Belegschaft. Es geht schliesslich immer auch darum, dass alle Mitarbeitenden für diese Anforderungen geschult und sensibilisiert werden.
Wir sind auf einem guten Weg und sehr zuversichtlich bis zum Ende des Jahres die Zertifizierung durch einen externen Auditor durchlaufen zu haben. Aber wie läuft ein solcher Audit genau ab?
Zunächst einmal erfolgt ein interner Audit, ebenfalls durch einen Experten. Ein internes ISO 27001 Audit ist als Selbstprüfung des Managementsystems für Informationssicherheit zu verstehen. Dabei verfolgt das ISMS Audit das Ziel, Nichtkonformitäten mit den Anforderungen der Norm ISO IEC 27001 früh genug aufzudecken. Auch die Norm für das Informationssicherheitsmanagement fordert die regelmäßige Umsetzung interner Audits.
Auditdurchführung
Die eigentliche Auditdurchführung beginnt mit einer Eröffnungsbesprechung. Bei dieser stellt der Auditor den Auditplan vor. Zudem können auch kurzfristig noch notwendige Änderungen diskutiert werden. Beim Audit an sich erfolgt dann die Sammlung von Informationen. Der Auditor greift dabei auf verschiedene Methoden zurück:
- Prüfung von Dokumenten
- Beobachtung bzw. Begehung vor Ort
- Gespräche mit Mitarbeitern
Im Rahmen der Nachbereitung des Audits erfolgt die Erstellung eines Auditberichts durch den Auditor. Anschließend verteilt der Auditor den Bericht an den auditierten Bereich. Oft werden Nachbesserungen gefordert, die dann zeitnah umgesetzt werden müssen.
Der gesamte Auditprozess stellt am Ende eines langen Weges sicher, dass zunächst intern und dann extern alles geprüft, hinterfragt und am Ende zertifiziert wird.
Selbstverständlich halten wir alle Kunden und Interessenten über den Ablauf und Abschluss auf dem Laufenden. Der Auditbericht sowie die gesamte zugrunde liegende Dokumentation wird offengelegt und kann eingesehen werden. Wir sind jederzeit offen für Fragen oder Anmerkungen.
Melden Sie sich jederzeit gerne bei Ihrem Ansprechpartner.