Erfolgreich ISO 27001 zertifiziert - in nur 10 Monaten

Auf technischer Ebene beweisen wir unseren Kunden jeden Tag, dass wir ihnen als Cloud Managed Service Provider erstklassigen Support bieten; nun galt es zu prüfen, ob auch die organisatorischen Voraussetzungen erfüllt sind. Denn wir bei glueckkanja-gab erhalten immer mehr Kundenanfragen, die einen Nachweis darüber wünschen, dass unser Unternehmen branchenübliche Prozesse für die Informationssicherheit etabliert hat. Um diesem Wunsch nachzukommen, haben wir uns ISO 27001 zertifizieren lassen.

Worum geht es bei ISO 27001 Zertifizierung?

Ein Informationssicherheitsmanagementsystem, kurz ISMS, befasst sich weniger mit der Technik als mit der Beschreibung von Regeln und organisatorischen Maßnahmen für ein ganzheitliches Unternehmens- und IT-Sicherheitsmanagement. Die Umsetzung basiert wiederum auf technischen und organisatorischen Regeln in den zuvor definierten Bereichen (in unserem Fall: Managed Services und Produktentwicklung).

Unser Ziel war es, bis Ende 2021 in den oben genannten Bereichen nach ISO 27001 zertifiziert zu sein - in nur 10 Monaten! Dafür wurden wir von verschiedenen Seiten belächelt, denn die Einführung eines ISMS und die Zertifizierung bedeuten einen nicht unerheblichen Zeitaufwand.

Welche Art der Umsetzung haben wir gewählt?

Als Unternehmen denken wir ein wenig anders. Wir wollten das Rad nicht neu erfinden, sondern uns auf Menschen verlassen, die das Begleiten eines solchen Prozesses als ihre Kernkompetenz ansehen. Deshalb haben wir uns für ein System “von der Stange” entschieden, bei dem der Rahmen bereits vorgegeben war und wir ihn nur noch mit Leben füllen mussten.

Wie bereits erwähnt, basiert die Umsetzung auf technischen und organisatorischen Regeln. Hier spielen uns unsere 100 % Cloud-Strategie und unser Future Workplace Blueprint in die Hände. Denn eine unserer Maximen lautet “Eat your own dog food”. Also leben wir in der Cloud und der Blueprint wird auch in unserem Unternehmen umgesetzt. So konnten viele der im Framework geforderten Themen auf den Blueprint verwiesen werden oder Anforderungen damit beantwortet werden.

Das ISMS wirft auch einen Blick auf den Bereich der Unternehmenssicherheit. Es prüft unter anderem, wie mit geschäftskritischen Situationen umgegangen wird, z.B. bei Strom- oder Internetausfällen. In unserem Fall gab es daher während des Zertifizierungsprozesses einige spannende Diskussionen mit dem Auditor, da uns diese Themen nicht direkt betreffen. Denn dank unseres 100 % Cloud-Ansatzes lautet unser Motto: “Strom weg, egal - dann gehe ich dorthin, wo es Strom gibt. Kein Internet, egal - Personal Hotspot auf dem Mobiltelefon, ab ins Café um die Ecke oder, ganz langweilig, ins Homeoffice.”

Die ISO 27001 Zertifizierung umfasst auch eine Begutachtung der Geschäftsräume und der Infrastruktur (Rechenzentrum). Dies kann bis zu einem Tag dauern. In unserem Fall war die Prüfung innerhalb einer Stunde abgeschlossen. Warum? Ganz einfach: 100 % Cloud. Und da wir die Microsoft Cloud nutzen, die bereits ISO 27001 zertifiziert ist, war auch dieser Punkt schnell erledigt.

Dies warf jedoch weitere Fragen auf. Wenn sich die gesamte Infrastruktur in der Cloud befindet, wie wird dann der Zugang gesichert und der Zugriff überwacht? Hier konnten wir allerdings wieder auf unseren Blueprint verweisen, der auch das Thema Conditional Access behandelt. In Sachen Überwachung konnten wir mit unserem glueckkanja-gab CSOC Service überzeugen und letzte Zweifel ausräumen. So stand der endgültigen Zertifizierung nichts mehr im Wege.

Welches Fazit können wir also ziehen?

Mit unserem technischen Wissen, das wir in unseren Blueprint gepackt haben, haben wir auch die Grundlage geschaffen, um auf der organisatorischen Seite zu überzeugen. So konnten wir die ISO 27001 Zertifizierung in sehr kurzer Zeit und mit überschaubarem Aufwand erreichen.

Fragen nach einem ISMS oder einer Zertifizierung können wir ab sofort guten Gewissens ankreuzen, wenn wir Anfragen zu Managed Services erhalten. Und auch Sie als Kunde können von unserem 100%igen Cloud-Ansatz profitieren, denn der standardisierte Ansatz kann auch Ihnen in Ihrem Unternehmen bei Themen wie Informations- und Geschäftssicherheit helfen.