soxes ist ISO zertifiziert. Was bedeutet das?

Cyber-Angriffe und Sicherheitslücken bei Unternehmen sind schon lange keine Fiktion mehr, sondern bittere Realität – daher sind Qualitätsmanagement und Informationssicherheit heutzutage umso wichtiger. Um das Vertrauen der Kunden zu stärken und Sicherheit zu gewährleisten, hat soxes das ISO-27001-Zertifikat eingeführt. Dieses hat zum Ziel, Informationen basierend auf einer Analyse der Geschäftsrisiken bezüglich Vertraulichkeit, Integrität und Verfügbarkeit zu schützen und zugleich eine kontinuierliche Informationssicherheit im Unternehmen zu verankern.

Erfahren Sie im Interview mit CEO Patrick Büchler, warum unsere Kunden von der ISO-Zertifizierung profitieren können und was die Herausforderungen für soxes waren.

ISO/IEC 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Im Rahmen der ISO-27001 Zertifizierung wird das Unternehmen und die Wertschöpfungsketten durch die Auswahl von geeigneten Sicherheitsmechanismen geschützt. Für Unternehmen bietet ISO 27001 einen strukturierten Ansatz, die Integrität der betrieblichen Daten und deren Vertraulichkeit zu schützen. Gleichzeitig sorgt sie für die Sicherstellung der Verfügbarkeit aller IT-Systemen, die an den Unternehmensprozessen beteiligten sind.

soxes möchte ihren Kunden die höchstmögliche Sicherheit bieten. Denn Sicherheit ist im IT-Bereich wichtiger denn je geworden und nicht mehr aussergewöhnlich, sondern Pflicht!

Sicherheit ist heute nicht mehr bemerkenswert, sondern Pflicht!

Patrick Büchler, CEO soxes AG

Daraus folgend ist es für soxes von höchster Priorität, individuelle Softwarelösungen mit dem höchstmöglichen Sicherheitsstandard zu konzipieren, umzusetzen und zu betreiben. Im Zuge dessen war die Einführung des ISO-27001 Standard für uns der einzig logische nächster Meilenstein. Denn viele Kunden erwarten von ihren Lieferanten, dass sie die entsprechenden Sicherheitsrichtlinien einhalten. Mit einer ISO/IEC 27001 Zertifizierung können wir diesen Fakt belegen.

Hinzu kommt, dass durch den Prozess der Zertifizierung das gesamte Unternehmen von der Entwicklung bis zum Verkauf gegenüber dem Thema Sicherheit sensibilisiert wurde. Entscheidend ist, dass sämtliche Kettenglieder, welche am Wertschöpfungsprozess mitarbeiten, den genau gleich hohen Anspruch sowie hohes Verständnis über das Thema Sicherheit und Informationssicherheit haben.

ISO-27001 ermöglicht soxes dem Kunden zu garantieren, dass alle Prozesse den höchstmöglichen Sicherheitsstandard aufweisen.

Patrick Büchler, CEO soxes AG

Der wichtigste und nicht direkt erkennbare Vorteil für einen Kunden ist das Know-how unserer Mitarbeiter. Das gesamte Unternehmen wird permanent im Thema Sicherheit sensibilisiert und ihr Wissen wurde auf den neusten Stand gebracht. Dieses Wissen wird genutzt, um unsere Kunden bei Sicherheitsfragen kompetent zu beraten und ihre Prozesse und Software sicherer zu machen. Ein Beispiel dafür ist der durch uns kürzlich durchgeführte Audit bei einem Kunden, in dem alle Prozesse des gesamten Unternehmens überprüft wurden. Mit dem erworbenen Hintergrundwissen der eigenen ISO-27001 Zertifizierung konnten wir wichtige Inputs geben und einen Mehrwert für seine Sicherheitsanforderungen bieten. Denn sensible Daten sind das höchste Gut eines jeden Unternehmens, das es zu schützen gilt.

Das Anspruchsvollste am Zertifizierungsprozess ist herauszufinden, wie alles aufgebaut ist. Dabei gibt es zwingende Elemente, die erfüllt werden müssen, aber auch ein dispositiver Teil. Im dispositiven Teil kann das Unternehmen selbst festlegen, welche Regeln für die Firma besonders hervorzuheben sind. Das bedeutet, ISO ist nicht eine Checkliste, welche nacheinander abgehakt wird, sondern vieles wird von einem selbst bestimmt. Des Weiteren muss verstanden und erkennt werden, welche Regeln ein Muss oder ein Soll im Regelwerk darstellen. Letztlich ist zu erwähnen, dass nicht nur die Verantwortlichen den Prozess und die damit einhergehenden Regeln kennen sollten, sondern es müssen alle Stakeholder mit an Bord sein. Dafür haben wir uns bewusst schon sehr früh dazu entschieden, sämtliche Mitarbeiter in den Prozess einzubinden und Mithilfe von Workshops und Meetings ihnen das Thema Sicherheit und ISO-27001 nahezubringen. Denn die ganze ISO-Zertifizierung ist nicht nur ein Snapshot, sondern soxes muss ISO als ganze Unternehmung nachhaltig leben.

Das System der ISO-Zertifizierung geht nicht davon aus, dass alles 100% richtig ist, sondern man muss permanent optimieren – nur die Förderung einer lernfähigen Fehlerkultur erlaubt dies aber.

Patrick Büchler, CEO soxes AG

Um die ISO-Zertifizierung zügig voranzutreiben hat soxes entscheiden, ihre Sicherheitsbeauftragte entsprechend auszubilden, um den gesamten Prozess der ISO-Zertifizierung eigenständig zu realisiert.

Den anfänglich dafür eingesetzten Partner, welcher uns beim Prozess unterstützen sollte, brachte nicht die nötige Effizienz und Effektivität. So dass wir kurzum entschieden, die Dinge selbst an die Hand zu nehmen und umzusetzen. Diese Entscheidung hat sich als echte Challenge, jedoch als richtig und sehr wertvolle Erfahrung erwiesen.

Um diese Frage beantworten zu können, muss man sich die Auswahl der verschiedenen Standards anschauen. Es gibt neben ISO momentan keine Alternative, die auf internationaler Basis eine Norm für die Informationssicherheit anbietet. Ein ähnliches Modell haben die DIN EN Normen, die aber spezifisch und produktbezogen sind. Am bekanntesten ist die ISO 9001, bei dem aber die Kunden und der Prozess der gesamten Unternehmung im Vordergrund steht. Bei ISO-27001 geht es hingegen rund um das Thema Informationssicherheit mit dem Ziel zu belegen, dass man ein Informationssicherheits-Managementsysteme (ISMS) vollumfänglich implementiert hat. Bei Ausschreibungen verlangen Unternehmen heutzutage vermehrt, dass ihre Lieferanten ISO-27001 zertifiziert sind. Meiner Meinung nach wird die ISO-27001 nie verschwinden, sondern in nächster Zeit sogar beliebter werden.