Im Januar 2023 haben wir erfolgreich unseren sog. Stage 2 Audit mit dem TÜV Süd durchlaufen (siehe auch hier) und können seit dem Stolz sagen: wir sind ISO27001 zertifiziert! Yeah! Der erfolgreiche Abschluss eines Prozesses, den wir Anfang 2021 begonnen haben und in dessen Rahmen wir als Team, als Organisation vieles gelernt und vor allem auch vieles verbessert haben.
Wir wollen daher den Blick werfen auf die Dinge, die wir konkret gelernt haben.
Sicherheit ist kein Zustand, sondern ein fortlaufender Prozess
Natürlich freuen wir uns über die TÜV Zertifizierung. Aber nach der Abnahme unseres Managementsystems für Informationssicherheit ist uns längst klar geworden, dass dies eine kurze Momentaufnahme ist. Denn tatsächlich geht es darum Sicherheit und Datenschutz als permanenten Verbesserungsprozess zu begreifen. Wir haben glaube ich sehr gut abgeschnitten, aber natürlich haben wir uns über jede auch nur kleine “Non-Conformity” geärgert. Allerdings gilt: es gibt ohnehin kein “perfektes” System. Es gibt immer etwas zu optimieren. Auch weil sich die Bedrohungen im Bereich Cybersecurity und die technischen Rahmenbedingungen stetig ändern. Weil wir unseren Software Stack weiterentwickeln, als Organisation wachsen und es immer neue Herausforderungen gibt. Um so wichtiger ist die Entwicklung eines organisatorischen Frameworks, welches alle wichtigen Dinge abdeckt. Damit alle wissen wie sie zu agieren und zu reagieren haben.
Es gibt kein One-Size-Fits-All
Zu Beginn des Prozesses basiert das eigene Managementsystem wahrscheinlich in jeder Organisation auf Vorlagen, Input der Berater oder auch Benchmarks anderer. Das ist ein guter Start, aber letztlich findet man schnell heraus, dass man einen eigenen Weg, eine eigene Lösung finden muss. Jedes Unternehmen ist anders, hat eine eigene Philosophie und Struktur. Das Managementsystem für Informationssicherheit muss daraufhin angepasst und entwickelt werden. Vorlagen helfen zu Beginn, aber am Ende ist es zumindest bei uns ein komplett individualisiertes Paket aus Prozessen, Massnahmen, Regeln, Tools und Verantwortlichkeiten. Und dies hat mit den Vorlagen, die uns den Start erleichtert haben, heute oft nicht mehr so viel gemein. Aber: das ist gut so! Jedes Unternehmen sollte sein eigenes System entwickeln und verstehen was es braucht, wo die eigene Organisation besonders verwundbar ist und wie man sich dagegen am besten schützt. Nachhaltig und effizient.
Es geht nichts ohne Team Work
Die Implementierung eines Managementsystems für Informationssicherheit betrifft die komplette Organisation. Vor allem, wenn man sich wie unser Unternehmen komplett hat zertifizieren lassen. Alle müssen an einem Strang ziehen. Die Kette ist nur so stark wie Ihr schwächstes Glied. Deswegen ist es wichtig alle mitzunehmen, allen Team Mitgliedern klar zu machen wie wichtig dieses Thema ist. Und wie wichtig eine kontinuierliche Aufmerksamkeit dabei ist. Denn auch das Team muss verstehen: dies ist ein permanent fortlaufender Prozess.
Wir ersparen unseren Kunden viel Zeit
Bereits in den ersten Wochen nach der Zertifizierung merken wir in Gesprächen mit besonders großen Unternehmen, dass die Tatsache, dass wir ISO27001 zertifiziert sind, einen Unterschied macht. Denn für das Unternehmen ist dies ein Zeichen von Qualität und Professionalität in Sachen Sicherheit, ein Gütesiegel, welches eine eigene umfassende Prüfung durch die relevanten Experten in großen Teilen vereinfacht bzw. ganz überflüssig macht. Dies spart Zeit und Geld. Die Tatsache, dass wir uns nicht von einem unbekannten Auditor, sondern vom TÜV Süd haben prüfen lassen, trägt dabei zusätzlich zur Vertrauensbildung bei.
Zusammenfassung
Eine ISO 27001 Zertifizierung signalisiert Zuverlässigkeit und ist ein wirksames Instrument zur Steuerung der Informationssicherheit, um Anforderungen von Kunden zu erfüllen. Zertifizierte Unternehmen haben daher entscheidende Vorteile bei der Neukundengewinnung und Ausschreibungen. ISO 27001 ist der weltweit anerkannte Maßstab für das effektive Management von Informationsbeständen, der es Unternehmen ermöglicht, kostspielige Strafen aufgrund der Nichteinhaltung von Datenschutzanforderungen und finanzielle Verluste aufgrund von Datenverstößen zu vermeiden.
Wir haben eine Menge gelernt und sind sowohl stolz als auch glücklich, dass wir diesen Prozess so als Team durchlaufen haben. Denn wir können heute mit Sicherheit auch sagen, dass Daten bei uns in sicheren Händen sind.
Haben Sie Fragen zu unserem ISMS? Oder an unserem Zertifikat? Melden Sie sich jederzeit! Wir freuen uns genauere Einblicke zu geben!