Wir sind nach ISO 27001 zertifiziert

Unser Informations-Sicherheits-Management-System, kurz ISMS, betreiben wir seit Ende 2017. Im April 2022 sind wir erneut nach ISO 27001 zertifiziert worden.

Was ist ein nach ISO 27001 zertifiziertes Managementsystem?

In der Regel stellen heutige Managementsysteme ein Minimalsystem als Standard zur Unternehmensführung bereit. Sehr verbreitet über alle Branchen hinweg ist etwa die ISO 9001 zum Qualitätsmanagement. Bei der ISO 27001 handelt es sich um ein Managementsystem mit Bezug auf Informationssicherheit.

Es beinhaltet einen Satz an verschiedensten

  • Richtlinien
  • Prozessen
  • Organisatorischen Maßnahmen
  • Technische Maßnahmen.

Beispiele für die einzelnen Inhalte sind:

  • Eine Richtlinie zum Umgang mit Wechseldatenträgern oder zum Surfen im Internet
  • Einen beschriebenen und erprobten Security Incident Prozess – also koordinierte Reaktion bei Security Vorfällen
  • Die Durchführung von Risikoermittlung und Bewertung nach einem koordinierten Verfahren
  • Die Einführung eines Log-Management-Systems

Das Ziel ist eine nachvollziehbare und geregelte Unternehmenssteuerung. Dafür werden zum Beispiel relevante Kennzahlen erhoben oder interne Audits durchgeführt.

Ein weiteres Ziel ist die kontinuierliche Verbesserung – das Sicherheitsniveau wird messbar und erlebbar schrittweise nachhaltig erhöht.

Warum hat die TO sich zertifizieren lassen?

Für uns liegt der Nutzen klar auf der Hand:

Als Dienstleister im Bereich IT und speziell im Bereich Informationssicherheit spielt das Thema Vertrauen eine der größten Rollen in unserem Kundenkreis. Durch die zertifizierte Einführung eines ISMS können wir diesen Vertrauensvorschuss unserer Kunden untermauern.

Hinzu kommt, dass immer mehr unserer Kunden selbst ein zertifiziertes Informations-Sicherheits-Management-System einführen. Entweder nach ISO 27001 oder anderen ähnlichen Standards, wie TISAX oder IT-Grundschutz. Da wir wichtiger Dienstleister im Bereich Informationssicherheit sind, bietet dies unseren Kunden die Möglichkeit diese Zertifizierung bei der Lieferantenauswahl zu berücksichtigen.

Wie kann die TO Sie vor der Einführung unterstützen?

Der erste Schritt ist eine Gap Analyse. Diese führen wir als Workshop im Interview-Format durch. Nach ca. 2 Tagen können wir dann gemeinsam mit der interessierten Organisation ermitteln, welche Inhalte offen sind und geben aus unserer Erfahrung eine Schätzung zum Umfang ab, der die Organisation durch die Einführung erwartet.

Welche Vorteile hat die Zertifizierung für Unternehmen?

Durch die Einführung eines ISMS entstehen Chancen für die Unternehmen, welche den Geschäftserfolg sichern.

Durch ein strukturiertes und stetig verbessertes ISMS, sinkt das Risiko eines schwerwiegenden Informationssicherheitsvorfalls signifikant. Dies stellt zum Beispiel sicher, dass Kunden und Partner der Organisation dauerhaft bedient werden können. Die Zuverlässigkeit und Verfügbarkeit der Organistaion und ihrer IT wird nachhaltig gesteigert.

Eine erfolgreiche Zertifizierung des ISMS bedeutet zudem einen Wettbewerbsvorteil. Die Ergebnisse solcher Audits (und Erteilung des Zertifikats) genießen internationale Anerkennung. Durch diese Zertifizierung kann also ein entscheidender Wettbewerbsvorteil entstehen. Außerdem wird die Sicherung bestehender Marktanteile durch ein funktionierendes und zertifiziertes ISMS unterstützt.

Durch das strukturierte Risikomanagement und die Erhebung relevanter Kennzahlen wird zudem sichergestellt, dass Maßnahmen mit einer geeigneten und reproduzierbaren Priorität umgesetzt werden. Die Investitionen sind dadurch zukunftssicher und wirksam.

Eine sicher gestaltete und dennoch komfortabel benutzbare Informationslandschaft sorgt auch für zufriedene Mitarbeiter. Studien haben gezeigt, dass eine ganzheitliche Informationssicherheitsstrategie auch zu einer erhöhten Mitarbeiterbindung führt.

Wird zwangsläufig das ganze Unternehmen zertifiziert?

Natürlich nicht. In der Definition des Geltungsbereichs kann festgelegt werden, welche Organisation oder welche Teile einer Organisation zertifiziert werden.

Eine Organisation zwanghaft zu verkleinern kann aber im Umkehrschluss zu einem deutlich erhöhten Aufwand führen, weil Schnittstellen beschrieben, definiert und eingeführt werden müssen. Im Extremfall sind sogar interne Verträge mit SLA notwendig. Die Entscheidung, welcher Organisationsbereich zertifiziert werden soll muss also mit Bedacht gefällt werden.

Interessanterweise ist es dagegen häufig sinnvoll, nicht alle Anforderungen der Norm abzubilden und dies mit Ausschlüssen in der SoA zu begründen. SoA steht für „Statement of Applicability – was etwas sperrig mit „Erklärung zur Anwendbarkeit“ übersetzt wird. Man kann sich das so vorstellen: für alle Abschnitte im Anhang wird durch die Organisation festgelegt, ob diese Anforderungen umgesetzt werden oder nicht. Werden Anforderungen nicht umgesetzt, so ist dies in der SoA zu begründen. Ein klassisches Beispiel ist hier der Abschnitt zur „Sicherheit in Entwicklungsumgebungen“. Unternehmen, die keinerlei Software oder Systementwicklung betreiben, müssen natürlich weder Richtlinien zur sicheren Entwicklung erlassen, noch müssen sie Test- und Entwicklungsumgebungen sicher konfigurieren.

Die SoA von TO ist, was die vorhergehenden Ausführungen angeht, beispielsweise ziemlich unspektakulär! Wir haben keinerlei Ausschlüsse definiert und alle Anforderungen der Norm umgesetzt.

Im Fokus

Managed SOC Starter

Ihr Einstieg in die Security-Königsklasse. Mit dem Managed SOC Starter-Paket profitieren Sie von Sensorik & Security-Expertise. Optimaler Schutz zum erschwinglichen Preis. Ideal für KMU.

Mehr Informationen zu SOC Starter

Sicherheitsschloss auf Platine

Managed WAF Service

Web-Anwendungen sind Angriffsvektor Nr.1 für Angriffe auf Ihr Netzwerk. Nur eine Web Application Firewall (WAF) schafft wirklich Abhilfe, indem sie den Datenverkehr auf Applikationsebene inspiziert und Cyberangriffe blockiert.

Mehr zu Managed WAF erfahren

Ausbildung Fachinformatiker

Deine Karriere, Deine Zukunft

Bereit, die Cyber-Welt zu retten? Ob Ausbildung, Berufseinstieg oder mit Berufserfahrung. Sei von Anfang an Teil unseres innovativen Teams und finde bei uns endlich den Job, der zu Dir passt!

Zu unseren Stellenangeboten