{"id":4535,"date":"2022-08-25T10:24:55","date_gmt":"2022-08-25T10:24:55","guid":{"rendered":"https:\/\/blog.tchop.io\/?p=4535"},"modified":"2024-08-16T14:51:09","modified_gmt":"2024-08-16T14:51:09","slug":"warum-wir-bis-jahresende-die-iso27001-zertifizierung-anstreben","status":"publish","type":"post","link":"https:\/\/blog.tchop.io\/de\/warum-wir-bis-jahresende-die-iso27001-zertifizierung-anstreben\/","title":{"rendered":"Warum wir bis Jahresende die ISO27001 Zertifizierung anstreben"},"content":{"rendered":"\n
\"red<\/figure>\n\n\n\n

Als Software-Dienstleister sind Sie t\u00e4glich von einer Vielzahl an vertraulichen Informationen und Daten umgeben, welche uns die Kunden anvertrauen. Dabei geht es um Inhalte, Nachrichten, aber auch um personenbezogene Daten mit besonders sch\u00fctzenswerter Eigenschaft.<\/p>\n\n\n\n

Ein verantwortungsbewusster Umgang mit diesen Daten ist wichtiger denn je, denn die Aspekte Vertraulichkeit, Verf\u00fcgbarkeit und Integrit\u00e4t<\/strong> gewinnen in dem Zusammenhang f\u00fcr uns, aber eben auch f\u00fcr viele Kunden immer mehr Bedeutung.<\/p>\n\n\n\n

Mit einer Zertifizierung<\/strong> nach ISO 27001<\/strong> k\u00f6nnen wir die Wirksamkeit unserer Sicherheitsprozesse und -ma\u00dfnahmen objektiv und glaubw\u00fcrdig nachweisen. Dieser weltweit anerkannte Standard definiert die Anforderungen, die an die Einf\u00fchrung, Umsetzung, Dokumentation und Verbesserung eines ISMS (gleich dazu unten mehr) gestellt werden.<\/p>\n\n\n\n

Der ISO27001 Standard<\/h4>\n\n\n\n

Die internationale\u00a0Norm<\/a>\u00a0ISO<\/a>\/IEC<\/a>\u00a027001<\/strong>\u00a0(mehr dazu hier<\/a>) spezifiziert die Anforderungen f\u00fcr Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten\u00a0Informationssicherheits-Managementsystems<\/a>\u00a0unter Ber\u00fccksichtigung des Kontexts einer Organisation. Zus\u00e4tzlich beinhaltet die Norm Anforderungen f\u00fcr die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bed\u00fcrfnissen des Unternehmens. Die\u00a0Norm<\/a>\u00a0wurde auch als\u00a0DIN-Norm<\/a>\u00a0ver\u00f6ffentlicht und ist Teil der\u00a0ISO\/IEC\u00a02700x-Familie<\/a><\/em>.<\/p>\n\n\n\n

Die Norm spezifiziert Anforderungen f\u00fcr die Implementierung von geeigneten Sicherheitsmechanismen, welche in die Gegebenheiten der einzelnen Organisationen eingebunden werden sollen. Der deutsche Anteil an diesem internationalen Normungsprojekt wird vom DIN NIA-01-27 IT-Sicherheitsverfahren<\/a> betreut.<\/p>\n\n\n\n

Einf\u00fchrung und Verbesserung des ISMS<\/h4>\n\n\n\n

Ein zentraler Aspekt ist die Einf\u00fcrhung eines umfassenden ISMS. Ein sogenanntes Informationssicherheitsmanagementsystem (ISMS) unterst\u00fctzt uns dabei, Schwachstellen innerhalb unserer Strukturen zu schlie\u00dfen und Sicherheitsrisiken zu minimieren. Die Kriterien f\u00fcr Aufbau, Einf\u00fchrung, Betrieb, \u00dcberwachung und kontinuierliche Verbesserung eines dokumentierten ISMS definiert ISO 27001.<\/p>\n\n\n\n

Gesetzliche, regulatorische und vertragliche Regelungen eingeschlossen, definiert ISO 27001 alle Anforderungen, die an den Aufbau, die Einf\u00fchrung, Umsetzung, betriebliche \u00dcberwachung und Dokumentation unseres ISMS gestellt werden. Dabei werden bestehende Risiken<\/strong> f\u00fcr Ihr Unternehmen identifiziert, analysiert und durch qualifizierte Ma\u00dfnahmen behoben.<\/strong> Das betrifft neben Hackerangriffen auch andere St\u00f6rungen, die zu ungeplanten Unterbrechungen von Prozessen f\u00fchren oder gar den Gesch\u00e4ftsbetrieb lahmlegen.<\/p>\n\n\n\n

Mehr als nur IT<\/h4>\n\n\n\n

Die ISO 27001 ist nicht nur auf IT-Prozesse beschr\u00e4nkt, sondern ber\u00fccksichtigt auch Aspekte der Infrastruktur wie Organisation, Personal und Geb\u00e4ude<\/strong>. Vieles davon ist heute schon transparent und umfangreich in unserem Technischen und organisatorischen Massnahmendokument (mehr dazu siehe hier<\/a>) dargelegt, aber wir glauben, dass eine externe Zertifizierung immer einen guten, zus\u00e4tzlichen Schritt in Richtung Vertrauen<\/a> liefert.<\/p>\n\n\n\n

Das Plan-Do-Check-Act-Modell<\/strong>, das der ISO 27001 zugrunde liegt, garantiert dabei vor allem auch eine kontinuierliche Verbesserung. Es geht also nicht um eine einmalige Bestandsaufnahme, sondern, um ein kontinuierliches Niveau, welches immer wieder nachgesch\u00e4rft und auch immer wieder durch externe Auditoren gepr\u00fcft wird. <\/p>\n\n\n\n

Externer Zertifizierungsaudit<\/h4>\n\n\n\n

Seit Anfang 2022 besch\u00e4ftigen wir uns intensiv mit den Anforderungen der Zertifizierung. Ein eigenes Team \u00fcberpr\u00fcft Prozesse, optimiert technische Strukturen, entwickelt und schreibt Dokumentation und Vorgaben und koordiniert die interne Kommunikation<\/a> in Richtung der Belegschaft. Es geht schliesslich immer auch darum, dass alle Mitarbeitenden f\u00fcr diese Anforderungen geschult und sensibilisiert werden.<\/p>\n\n\n\n

Wir sind auf einem guten Weg und sehr zuversichtlich bis zum Ende des Jahres die Zertifizierung durch einen externen Auditor durchlaufen zu haben. Aber wie l\u00e4uft ein solcher Audit genau ab?<\/p>\n\n\n\n

Zun\u00e4chst einmal erfolgt ein interner Audit, ebenfalls durch einen Experten. Ein internes ISO 27001 Audit ist als Selbstpr\u00fcfung des Managementsystems f\u00fcr Informationssicherheit zu verstehen. Dabei verfolgt das ISMS Audit das Ziel, Nichtkonformit\u00e4ten mit den Anforderungen der Norm ISO IEC 27001 fr\u00fch genug aufzudecken. Auch die Norm f\u00fcr das Informationssicherheitsmanagement fordert die regelm\u00e4\u00dfige Umsetzung interner Audits.<\/p>\n\n\n\n

Auditdurchf\u00fchrung<\/h4>\n\n\n\n

Die eigentliche Auditdurchf\u00fchrung beginnt mit einer Er\u00f6ffnungsbesprechung. Bei dieser stellt der Auditor den Auditplan vor. Zudem k\u00f6nnen auch kurzfristig noch notwendige \u00c4nderungen diskutiert werden. Beim Audit an sich erfolgt dann die Sammlung von Informationen. Der Auditor greift dabei auf verschiedene Methoden zur\u00fcck:<\/p>\n\n\n\n

  • Pr\u00fcfung von Dokumenten<\/li>
  • Beobachtung bzw. Begehung vor Ort<\/li>
  • Gespr\u00e4che mit Mitarbeitern<\/li><\/ul>\n\n\n\n

    Im Rahmen der Nachbereitung des Audits erfolgt die Erstellung eines Auditberichts durch den Auditor. Anschlie\u00dfend verteilt der Auditor den Bericht an den auditierten Bereich. Oft werden Nachbesserungen gefordert, die dann zeitnah umgesetzt werden m\u00fcssen.<\/p>\n\n\n\n

    Der gesamte Auditprozess stellt am Ende eines langen Weges sicher, dass zun\u00e4chst intern und dann extern alles gepr\u00fcft, hinterfragt und am Ende zertifiziert wird. <\/p>\n\n\n\n

    Selbstverst\u00e4ndlich halten wir alle Kunden und Interessenten \u00fcber den Ablauf und Abschluss auf dem Laufenden. Der Auditbericht sowie die gesamte zugrunde liegende Dokumentation wird offengelegt und kann eingesehen werden. Wir sind jederzeit offen f\u00fcr Fragen oder Anmerkungen.<\/p>\n\n\n\n

    Melden Sie sich jederzeit gerne bei Ihrem Ansprechpartner.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Als Software-Dienstleister sind Sie t\u00e4glich von einer Vielzahl an vertraulichen Informationen und Daten umgeben, welche uns die Kunden anvertrauen. Dabei geht es um Inhalte, Nachrichten,…<\/p>\n","protected":false},"author":5,"featured_media":4379,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[65,56],"tags":[],"coauthors":[132],"class_list":["post-4535","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-die-plattform","category-unkategorisiert"],"_links":{"self":[{"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/posts\/4535","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/comments?post=4535"}],"version-history":[{"count":3,"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/posts\/4535\/revisions"}],"predecessor-version":[{"id":4544,"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/posts\/4535\/revisions\/4544"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/media\/4379"}],"wp:attachment":[{"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/media?parent=4535"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/categories?post=4535"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/tags?post=4535"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/blog.tchop.io\/de\/wp-json\/wp\/v2\/coauthors?post=4535"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}