soxes ist ISO zertifiziert. Was bedeutet das?

ISO/IEC 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Im Rahmen der ISO-27001 Zertifizierung wird das Unternehmen und die Wertschöpfungsketten durch die Auswahl von geeigneten Sicherheitsmechanismen geschützt. Für Unternehmen bietet ISO 27001 einen strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit aller IT-Systemen, die an den Unternehmensprozessen beteiligten sind.

soxes möchte ihren Kunden die höchstmögliche Sicherheit bieten. Denn Sicherheit ist im IT-Bereich wichtiger denn je geworden und nicht mehr aussergewöhnlich, sondern Pflicht!

Daraus folgend ist es für soxes von höchster Priorität, individuelle Softwarelösungen mit dem höchstmöglichen Sicherheitsstandard zu konzipieren, umzusetzen und zu betreiben. Im Zuge dessen war die Einführung des ISO-27001 Standard für uns der einzig logische nächster Meilenstein. Denn viele Kunden erwarten von ihren Lieferanten, dass sie die entsprechenden Sicherheitsrichtlinien einhalten. Mit einer ISO/IEC 27001 Zertifizierung können wir diesen Fakt belegen.

Der wichtigste und nicht direkt erkennbare Vorteil für einen Kunden ist das Know-how unserer Mitarbeiter. Das gesamte Unternehmen wird permanent im Thema Sicherheit sensibilisiert und ihr Wissen wurde auf den neusten Stand gebracht. Dieses Wissen wird genutzt, um unsere Kunden bei Sicherheitsfragen kompetent zu beraten und ihre Prozesse und Software sicherer zu machen. Ein Beispiel dafür ist der durch uns kürzlich durchgeführte Audit bei einem Kunden, in dem alle Prozesse des gesamten Unternehmens überprüft wurden. Mit dem erworbenen Hintergrundwissen der eigenen ISO-27001 Zertifizierung konnten wir wichtige Inputs geben und einen Mehrwert für seine Sicherheitsanforderungen bieten. Denn sensible Daten sind das höchste Gut eines jeden Unternehmens, das es zu schützen gilt.

Das Anspruchsvollste am Zertifizierungsprozess ist herauszufinden, wie alles aufgebaut ist. Dabei gibt es zwingende Elemente, die erfüllt werden müssen, aber auch ein dispositiver Teil. Im dispositiven Teil kann das Unternehmen selbst festlegen, welche Regeln für die Firma besonders hervorzuheben sind. Das bedeutet, ISO ist nicht eine Checkliste, welche nacheinander abgehakt wird, sondern vieles wird von einem selbst bestimmt. Des Weiteren muss verstanden und erkennt werden, welche Regeln ein Muss oder ein Soll im Regelwerk darstellen.

Letztlich ist zu erwähnen, dass nicht nur die Verantwortlichen den Prozess und die damit einhergehenden Regeln kennen sollten, sondern es müssen alle Stakeholder mit an Bord sein. Dafür haben wir uns bewusst schon sehr früh dazu entschieden, sämtliche Mitarbeiter in den Prozess einzubinden und Mithilfe von Workshops und Meetings ihnen das Thema Sicherheit und ISO-27001 nahezubringen. Denn die ganze ISO-Zertifizierung ist nicht nur ein Snapshot, sondern soxes muss ISO als ganze Unternehmung nachhaltig leben.

Um diese Frage beantworten zu können, muss man sich die Auswahl der verschiedenen Standards anschauen. Es gibt neben ISO momentan keine Alternative, die auf internationaler Basis eine Norm für die Informationssicherheit anbietet. Ein ähnliches Modell haben die DIN EN Normen, die aber spezifisch und produktbezogen sind. Am bekanntesten ist die ISO 9001, bei dem aber die Kunden und der Prozess der gesamten Unternehmung im Vordergrund steht.

Bei ISO-27001 geht es hingegen rund um das Thema Informationssicherheit mit dem Ziel zu belegen, dass man ein Informationssicherheits-Managementsysteme (ISMS) vollumfänglich implementiert hat. Bei Ausschreibungen verlangen Unternehmen heutzutage vermehrt, dass ihre Lieferanten ISO-27001 zertifiziert sind. Meiner Meinung nach wird die ISO-27001 nie verschwinden, sondern in nächster Zeit sogar beliebter werden.