DIE ISO 27001 ZERTIFIZIERUNG: ZIEL EINES GROSSEN GEMEINSCHAFTSPROJEKT

Die Zertifikatsübergabe mit dem INFORM Team und Ralph Freude, vom TÜV Rheinland

Daten, Informationen und entsprechende IT-Systeme zählen heutzutage ohne Zweifel zu den wertvollsten und gefährdetsten Unternehmensressourcen. Die international anerkannte Norm ISO 27001 spezifiziert Anforderungen für ein Informationssicherheitsmanagementsystem innerhalb eines Unternehmens und gilt als eine der relevantesten Zertifizierungen im Bereich Cybersecurity. INFORM hat die Zertifizierung im März 2022 erfolgreich abgeschlossen. Welche Schritte wir dafür durchlaufen mussten und welche Erfahrungen wir auf dem Weg dorthin gemacht haben, erfahren Sie in diesem Artikel.

Informationssicherheit gewinnt angesichts der zunehmenden Cyberkriminalität stetig an Bedeutung. Die kürzliche Ransomware-Attacke auf den Reifenhersteller Continental, bei der große Datenmengen entwendet wurden, ist nur eines der vielen aktuellen Beispiele von Cyberangriffen. Wer nachhaltig erfolgreich sein will, muss nicht nur in der Lage sein, Daten zu verstehen und damit zu arbeiten, sondern diese vor allem nachhaltig zu schützen wissen. Entscheiderinnen und Entscheider sollten sich daher besonders eine Frage stellen: Wie schütze ich meine Daten und Informationen zuverlässig vor Dritten? Und wie kann ich nachweisen, dass ich nicht nur mit den eigenen Daten sorgsam umgehe, sondern auch mit denen der Kunden? Eine Zertifizierung nach ISO 27001 bestätigt ein zuverlässiges Informationssicherheitsmanagementsystem (ISMS) und nimmt bei der Beantwortung dieser Fragen eine bedeutende Rolle ein.

Informationssicherheit auf hohem Niveau

Die ISO 27001 ist die international führende Norm für ISMS. Sie definiert eine prozessorientierte Herangehensweise an Aufbau, Implementierung, Betrieb, Überwachung und Weiterentwicklung eines ISMS. Sie beinhaltet Anforderungen an Prozesse und Verfahren, um ein akzeptables Maß an Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten und aufrechterhalten. Der Schwerpunkt liegt auf dem risikobasierten Schutz der Informationen auf IT-Systemen, jedoch auch von Information in Papierform und in den Köpfen der Mitarbeitenden. Das Zertifikat bescheinigt einem Unternehmen, dass es mit seinen etablierten Sicherheitsstandards den hohen Anforderungen der ISO 27001 entspricht.

Seit März 2022 ist das ISMS der INFORM GmbH nach ISO 27001 zertifiziert. Doch der Umfang und Aufwand einer solchen Zertifizierung ist größer, als man vielleicht annehmen mag.
"Bevor die Zertifizierung überhaupt beginnen konnte, wurde unsere Lage zunächst durch einen Berater aufgenommen und die ersten Schritte eingeleitet“, erzählt unser Chief Information Security Officer Daniel Blankertz, der den Prozess seit Oktober 2019 begleitet hat. „Nach einer strukturierten Analyse konnte das Projekt dann mit einer ganzen Reihe von Beteiligten aus unterschiedlichsten Bereichen, wie beispielsweise IT, HR, Facility Management, Einkauf und Recht starten. Während des Projekts haben wir bereits bestehende Prozesse und Verfahren angepasst und neue eingeführt, erst dann kam die Zertifizierung“, so Blankertz.

Die Zertifizierung startete mit einer Bestandsaufnahme der Unternehmenssituation und den vorhandenen Prozessen sowie Dokumenten. Darauf aufbauend wurde die Wirksamkeit unseres ISMS beurteilt. Die positive Beurteilung unseres ISMS haben die Auditoren in einem ausführlichen Prüfbericht zusammengefasst und am 20. Juni 2022 fand dann feierlich die Zertifikatsübergabe durch den TÜV Rheinland statt.“ An diesem Tag ist das ganze Team zum Foto-Termin zusammengekommen. Als wir das Zertifikat in der Hand hielten, hatten wir alle das Gefühl, dass wir gemeinsam richtig etwas geschafft haben“, berichtet Blankertz stolz.

Gemeinsam zum Ziel

„Dass unser Informationssicherheitsmanagement-Projekt zu einem erfolgreichen "Go-Live" geführt werden konnte, ist ein Erfolg echter Zusammenarbeit von enorm vielen Menschen, die immer wieder mit kreativen Lösungen und hoher Kompetenz und Bereitschaft den nächsten Schritt gegangen sind“, erzählt Blankertz. „Informationssicherheit ist eine Aufgabe, die uns alle betrifft und jeder kann seinen Beitrag dazu leisten. Ob durch Einhalten der Regeln oder die Umsetzung und Weiterentwicklung von Sicherheitsverfahren und -maßnahmen.“ Doch die Zertifizierung endet nicht mit dem Erhalt der Urkunde. Nach einem Jahr gibt es ein erstes Überwachungsaudit, um zu beurteilen, wie das ISMS in der Praxis angewendet und weiterentwickelt wird. Nach dem zweiten Jahr folgt ein weiteres Überwachungsaudit und nach dem dritten Jahr dann die Rezertifizierung. „Mit den jährlichen Überwachungsaudits gehen wir sicher, dass wir dauerhaft klare Strukturen und Verantwortlichkeiten vorweisen können. "Die in den Audits herausgearbeiteten Verbesserungsbedarfe und –potenziale helfen uns dabei, den nun durch die Zertifizierung verpflichtenden Verbesserungsprozess kontinuierlich voranzutreiben“, resümiert Blankertz.

Optimierung interner Prozesse und verbesserte Cybersecurity

Mit dem erfolgreichen Abschluss der Zertifizierung unterstreicht INFORM den verantwortungsbewussten Umgang mit Informationen sowie eine hohe Sicherheit und Qualität der Geschäftsprozesse nach internationalen Standards. „Durch die eingeführten und verbesserten Strukturen, Prozesse und Maßnahmen haben wir unsere Resilienz gegen Cyber-Attacken deutlich gesteigert und können die Informationssicherheitsrisiken für INFORM effektiv managen“, so Blankertz.

Durch die Zertifizierung werden zudem die Anforderungen an einen gewissen IT-Sicherheitsstandard deutlich, den viele potenzielle Neukunden bereits voraussetzen und als Zutrittsbarriere sehen. „Potenzielle Kunden erkundigen sich bereits im Auswahlverfahren danach, wie ein Anbieter mit Sicherheitsfragen umgeht“, erklärt unser Geschäftsführer Andreas Meyer. „Deshalb werden wir nur dann konkurrenzfähig sein, wenn wir nachweisen können, dass wir höchste Sicherheitsstandards einhalten. Schließlich vertrauen uns unsere Kunden viele ihrer Sicherheitsanforderungen als Partner an. Mit der Zertifizierung beweisen wir unseren Kunden offiziell, dass unsere Sicherheitsstandards den hohen Anforderungen der ISO 27001 entsprechen und wir mit dem sicheren Umgang ihrer Daten, transparenten internen Prozessen und einem systematischen Risikomanagement eine wichtige Grundlage geschaffen haben“, fasst Meyer abschließend zusammen.