ISO 27001 Zertifizierung: «Der Umgang mit sensiblen Daten ist ein hohes Gut für jedes Unternehmen»
Die ISO/IEC 27001 Zertifizierung wird in der IT-Branche immer mehr zum Must-have, um das Vertrauen von Kunden zu gewinnen. Erfahren Sie mehr über die Vorteile der Zertifizierung für Unternehmen am Beispiel des Schweizer IT-Dienstleisters Ontrex.
Mit fortschreitender Digitalisierung steigen auch die Risiken, Ziel eines Cyber-Angriffs zu werden. Eine zukunftsfähige IT ist deshalb nicht nur eine Frage der Beherrschung moderner Technologien, sondern auch der Cyber-Resilienz. Aus diesem Grund setzen immer mehr Unternehmen auf ein zertifiziertes Informationssicherheits-Management (ISMS) nach der international anerkannten Norm ISO/IEC 27001, wie zum Beispiel Ontrex.
Das Schweizer Unternehmen bietet Dienstleistungen in den Bereichen IT-Infrastruktur, Security, Service Management und Softwarepaketierung. Im Interview sprechen wir mit dem CTO Rocco Leone und dem Head of IT-Infrastructure & Security und CISO Gero Stautmeister über die Vorteile einer ISO/IEC 27001 Zertifizierung für Unternehmen in der IT-Branche.
Rocco Leone | CTO bei Ontrex AG
Gero Stautmeister | Head of IT-Infrastructure & Security, CISO bei Ontrex AG
Warum haben Sie sich entschieden, die Ontrex AG nach dem ISO/IEC 27001 Standard zertifizieren zu lassen?
Als IT-Dienstleister zählen wir immer mehr Unternehmen zu unseren Kunden, die ihre Sicherheitsanforderungen auf das nächste Level bringen möchten. Viele Kunden erwarten aus dem Grund auch von ihren Lieferanten, dass sie die entsprechende Sicherheitsrichtlinien einhalten. Mit einer ISO/IEC 27001 Zertifizierung können wir dies einfach belegen. Wir können zeigen, dass wir als Vertriebspartner das gleiche Verständnis von IT-Sicherheit mitbringen und unsere Position im Bereich IT-Security Consulting erheblich stärken.
Neben dem Zertifikat, worin haben Sie den Mehrwert für sich als Organisation gesehen?
Selbstverständlich ist für uns neben den Erwartungshaltungen der Kunden und Hersteller auch ein ganzes Stück Eigennutz ausschlaggebend gewesen: Der Umgang mit sensiblen Daten ist ein hohes Gut für jedes Unternehmen, das es zu schützen gilt. Die Prozesse der Zertifizierung helfen uns dabei, alles Menschenmögliche zu tun, um diese Daten, die unsere Geschäftsgrundlage darstellen, vor unbefugtem Zugriff oder Verlust zu schützen.
Die ISO/IEC 27001 Zertifizierung war der Abschluss der Einführung eines Informationssicherheits-Managementsystems. Hierbei wurden organisatorische und technische Prozesse eingeführt und etabliert, die uns helfen, den Sicherheitsstandard kontinuierlich zu überprüfen und zu verbessern. Das in diesem Zusammenhang gleichzeitig eingeführte Risikomanagement unterstützt uns, mögliche Gefahren und Schwachstellen bereits proaktiv zu adressieren.
Was ist eine ISO/IEC 27001 Zertifizierung?ISO/IEC 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Mit einer ISO/IEC 27001 Zertifizierung weisen Organisationen objektiv nach, dass sie über ein wirksames ISMS verfügen, um Informationen, Daten und Systeme vor unerlaubten Zugriffen zu schützen. |
ISO/IEC 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Mit einer ISO/IEC 27001 Zertifizierung weisen Organisationen objektiv nach, dass sie über ein wirksames ISMS verfügen, um Informationen, Daten und Systeme vor unerlaubten Zugriffen zu schützen.
Welche Learnings nehmen Sie aus dem Zertifizierungs-Audit mit?
Ein wesentlicher Punkt bei den Vorbereitungsarbeiten für das Audit war die Erkenntnis, dass bereits viele Sicherheitsmechanismen im Einsatz waren, diese aber regelmässig verifiziert werden und gegebenenfalls erweitert werden müssen, damit die Schutzmassnahmen auch bei geänderten Bedingungen vollständig greifen.
Was sind die grössten organisatorischen Herausforderungen bei der Implementierung eines ISMS?
Während es für viele Organisationen oft schwierig ist, den Umfang der Informationssicherheitssysteme zu verwalten und bestehende Prozesse zu integrieren, hatten wir diese Schwierigkeiten glücklicherweise nicht. Beispielsweise im Bereich Enterprise und IT Service Management haben wir schon lange Prozesse nach gängigen Verfahren wie ITIL gelebt; auch der vorsichtige und vertrauensvolle Umgang mit uns von Kunden zur Software-Paketierung überlassenen Daten und Medien war schon immer Usus. Daher konnten wir schnell alle Mitarbeitenden von der Notwendigkeit der zur Zertifizierung notwendigen Sicherheitsmassnahmen überzeugen, bei nur geringen Anpassungen der bestehenden Prozesse und Strukturen.
Sind Sie dennoch auf Widerstände gestossen und wie sind Sie damit umgegangen?
Zusätzliche Sicherheitsmassnahmen bringen immer Veränderungen mit sich, die sich auf gewohnte Abläufe auswirken und diese scheinbar erschweren. Wir haben daher von Anfang an klar kommuniziert, warum die Sicherheitsmassnahmen umzusetzen sind und was der Nutzen für die Firma an sich, aber auch für jeden einzelnen Bereich und Mitarbeitenden ist. Im Dialog konnten so immer gemeinsam Prozesse erarbeitet werden, welche den hohen Anforderungen der Sicherheitsarchitektur gerecht wurden, aber die Arbeitsweise der Mitarbeitenden nicht wesentlich verändert haben.
Wie kontrollieren Sie, ob die Massnahmen korrekt umgesetzt werden?
Im Zuge der Einführung der Massnahmen haben wir einen Sicherheitsbeauftragten ernannt. In dessen Aufgabenbereich fällt es, regelmässig Management Meetings inklusive Geschäftsleitung mit Rückblick auf die umgesetzten Massnahmen sowie eine aktuelle Risikobewertung durchzuführen. Zudem werden wiederkehrende Tasks im Service Management System gepflegt, bei Erledigung geprüft und KPIs, die organisatorische als auch technische Aspekte abdecken, regelmässig aktualisiert. Auch eine kontinuierliche Pflege des Risikoregisters wird durchgeführt.
Vielen Dank für den spannenden Einblick.
Weiterlesen:
Digicomp macht Sie fit für Ihre ISO/IEC 27001 ZertifizierungWir bereiten Unternehmen und Einzelpersonen praxisnah auf die ISO/IEC 27001 Zertifizierung vor. Entdecken Sie dazu unser ausgewähltes Schulungsangebot. ISO/IEC 27001 Foundation (2 Tage) Lernen Sie das ISMS nach ISO/IEC 27001 grundlegend kennen und verstehen. Unsere erfahrenen Trainer bereiten Sie ideal auf die ISO/IEC 27001-Foundation-Zertifizierung vor. Zum Kursinhalt » ISO/IEC 27001 Information Security Officer (3 Tage) Nach dem Kurs sind sie in der Lage, ein wirksames ISMS zu entwerfen, zu implementieren, und zu verbessern. Sie schliessen den Kurs mit der Zertifizierung zum «Information Security Officer» auf Basis der ISO/IEC 27001 ab. Zum Kursinhalt » ISO/IEC 27001 Information Security Auditor (3 Tage) Bereiten Sie sich in diesem Kurs gezielt auf Ihre Rolle als ISO/IEC 27001 Lead Auditor vor. Sie lernen interne wie externe Audits zu planen und durchzuführen und Audit-Teams zu leiten. Zum Kursinhalt » |
Wir bereiten Unternehmen und Einzelpersonen praxisnah auf die ISO/IEC 27001 Zertifizierung vor. Entdecken Sie dazu unser ausgewähltes Schulungsangebot.
ISO/IEC 27001 Foundation (2 Tage)
Lernen Sie das ISMS nach ISO/IEC 27001 grundlegend kennen und verstehen. Unsere erfahrenen Trainer bereiten Sie ideal auf die ISO/IEC 27001-Foundation-Zertifizierung vor. Zum Kursinhalt »
ISO/IEC 27001 Information Security Officer (3 Tage)
Nach dem Kurs sind sie in der Lage, ein wirksames ISMS zu entwerfen, zu implementieren, und zu verbessern. Sie schliessen den Kurs mit der Zertifizierung zum «Information Security Officer» auf Basis der ISO/IEC 27001 ab. Zum Kursinhalt »
ISO/IEC 27001 Information Security Auditor (3 Tage)
Bereiten Sie sich in diesem Kurs gezielt auf Ihre Rolle als ISO/IEC 27001 Lead Auditor vor. Sie lernen interne wie externe Audits zu planen und durchzuführen und Audit-Teams zu leiten. Zum Kursinhalt »