VSHN ist ISO 27001 zertifiziert

Nach Jahren des Schweisses und Tränen ist es nun soweit: Wir sind ISO 27001 zertifiziert! Der Weg dorthin war länger als anfänglich erwartet und mit einigen Überraschungen gespickt.

Kaum ein Bereich der VSHN, welcher nicht von der Zertifizierung tangiert wurde.

Doch weswegen entschieden wir uns für ISO 27001 und was umfasst es?

Im Allgemeinen haben die meisten Organisationen und Unternehmen eine gewisse Form von Kontrollen zur Verwaltung der Informationssicherheit eingerichtet. Diese Kontrollen sind notwendig, da Informationen einer der wertvollsten Vermögenswerte eines Unternehmens sind. Die Wirksamkeit einer solchen Politik hängt jedoch davon ab, wie gut diese Kontrollen organisiert und überwacht werden. Viele Organisationen führen zufällig Sicherheitskontrollen ein: Einige werden eingeführt, um spezifische Lösungen für spezielle Probleme anzubieten, während andere oft nur als Konvention bestehen. Eine solche zufällige Sicherheitspolitik wird sich nur auf ganz bestimmte Aspekte der IT- und Datensicherheit beziehen und andere aussen vor lassen. Um diese Probleme anzugehen, wurde die ISO 27001 Norm entwickelt.

Bereits vor beinahe drei Jahren wurde der Kundenwunsch nach einer ISO 27001 Zertifizierung der VSHN geäussert. Denn eine ISO 27001 Zertifizierung bescheinigt, dass die zertifizierte Firma über ein Informationssicherheits-Managementsystem, kurz ISMS, verfügt. Ein ISMS ist ein systematischer Ansatz zur Verwaltung sensibler Unternehmensinformationen. Es umfasst Menschen, Prozesse und IT-Systeme unter Anwendung eines Risikomanagementprozesses. Dieses ISMS dient als Zentrum für alles, was den Bereich der IT-Sicherheit betrifft, und ist fortlaufend zu überwachen, zu warten und zu verbessern.

Des Weiteren beinhaltet die Norm sowohl die Identifizierung und Bewertung von Risiken als auch die Definition, Entwicklung, Implementierung und Überwachung geeigneter Massnahmen zur Minimierung besagter Risiken im angewandten Geltungsbereich. Wir haben uns für Verinice als Risikomanagementsoftware entschieden. Verinice basiert auf dem Standard ISO 27005, welches Leitlinien für ein systematisches und prozessorientiertes Risikomanagement, das auch die Einhaltung der Anforderungen an das Risikomanagements nach ISO 27001 unterstützt, enthält.


verinice

Die Informationssicherheit baut auf den drei Säulen Vertraulichkeit, Integrität und Verfügbarkeit auf, gemäss denen die Unternehmenswerte klassifiziert werden:

Vertraulichkeit

In der Informationssicherheit definiert Vertraulichkeit, dass Informationen nicht unbefugten Personen, Organisationen oder Prozessen zugänglich gemacht oder offengelegt werden.

Integrität

In der Informationssicherheit bedeutet Datenintegrität, dass die Richtigkeit und Vollständigkeit der Daten über den gesamten Lebenszyklus hinweg zu bewahren und sicherzustellen ist. Dies bedeutet, dass Daten nicht unbefugt oder unbemerkt verändert werden dürfen.

Verfügbarkeit

Damit ein Informationssystem seinen Zweck erfüllen kann, müssen die Informationen zur Verfügung stehen, wann immer sie benötigt werden. Das bedeutet, dass die EDV-Systeme zur Speicherung und Verarbeitung der Informationen, die Sicherheitskontrollen zu ihrem Schutz und die Kommunikationskanäle über die sie abgerufen werden ordnungsgemäss funktionieren müssen. Hochverfügbare Systeme sollen jederzeit betriebsfähig bleiben und Service-Unterbrechungen durch Stromausfälle, Hardware-Ausfälle und System-Upgrades sollten möglichst verhindert werden. Die Sicherstellung der Verfügbarkeit beinhaltet auch die Verhinderung von Denial-of-Service-Angriffen, wie z. B. eine Flut von eingehenden Nachrichten, welches das System zum Herunterfahren zwingt.

Die erfolgreiche Einführung eines Informationssicherheits-Managementsystems benötigt auf der einen Seite ein uneingeschränktes Bekenntnis der Geschäftsleitung, auf der anderen Seite die Akzeptanz der Mitarbeiter, da sie in vielerlei Hinsicht davon betroffen sein werden. Unser Chief Information Security Office (CISO) André Keller hat keinen Aufwand gescheut, die Anliegen unserer Mitarbeiter in die Ausarbeitung der jeweiligen Richtlinien und Prozesse einfliessen zu lassen. Dadurch und zusammen mit regelmässigen ISMS-Schulungen kann auch gewährleistet werden, dass die Informationssicherheit bei VSHN tagtäglich gelebt wird.

Anfang Sommer war es dann soweit. Alle Dokumente waren abgesegnet und unser ISMS stand. Es fehlte bloss noch die Zertifizierung.
Diese besteht im Wesentlichen aus zwei Teilen sowie jährlicher Überprüfungen:

Phase 1 ist eine informelle Prüfung des ISMS, bei der zum Beispiel die Existenz und Vollständigkeit von Schlüsseldokumentationen wie der Informationssicherheitspolitik, der Erklärung zur Anwendbarkeit (SoA) und dem Risikobehandlungsplan der Organisation überprüft wird. Diese Phase dient dazu, die Prüfer mit der Organisation vertraut zu machen.

Phase 2 ist ein detaillierteres und formales Compliance Audit des ISMS. Die Prüfer werden Beweismittel einholen um zu bestätigen, dass das Managementsystem ordnungsgemäss konzipiert und eingeführt wurde und tatsächlich in Betrieb ist (zum Beispiel durch die Bestätigung, dass ein Sicherheitsausschuss oder ein ähnliches Verwaltungsorgan regelmässig zusammentrifft, um das ISMS zu beaufsichtigen). Nach dieser Phase wird ISMS nach ISO 27001 zertifiziert.

Die Aufrechterhaltung der Zertifizierung erfordert regelmässige Überprüfungsaudit, um zu bestätigen, dass das ISMS weiterhin bestimmungsgemäss funktioniert. Diese finden mindestens einmal jährlich statt.

Ende August war es dann soweit: Wir durften unsere ISO 27001 Zertifizierung erstmals in den Händen halten!

Doch wie profitieren unsere Kunden von der ISO 27001 Zertifizierung?

  • ISO 27001 ist der de facto internationale Standard für Informationssicherheitsmanagement
  • Es zeigt ein klares Bekenntnis zu Informationssicherheitsmanagement gegenüber unseren Kunden.
  • Es dokumentiert die Implementierung eines robusten Systems zur Verwaltung von Informationen und Kundeninformationen innerhalb eines Unternehmens und zum Schutz von Informationsressourcen, um die Kontinuität des Geschäftsbetriebs im Schadensfall sicherzustellen.
  • Risiken, wie zum Beispiel Vertraulichkeitsverletzungen, werden durch die frühzeitige Erkennung und Reduzierung von Bedrohungen minimiert.
  • Durch regelmässige Schulungen und Internen Audits wird sichergestellt, dass Daten- und Informationssicherheit im täglichen Geschäftsalltag verankert sind. Dies stärkt auch das Vertrauen unserer Kunden in unsere Dienstleistungen.

Zudem profitiert auch VSHN direkt von der Zertifizierung:

  • Da VSHN aufgrund unserer vielschichtigen Kundenbeziehungen unterschiedliche Vorschriften in Bezug auf Datenschutz und IT-Governance einhalten muss, kann ISO 27001 die Methodologie einführen, die es ermöglicht dies auf die effizienteste Weise zu tun.
  • Informationssicherheit wird in der Regel als Kostenfaktor betrachtet, der keinen offensichtlichen finanziellen Gewinn erwirtschaftet. Allerdings kann durchaus auch ein Gewinn resultieren, wenn kostenintensive Zwischenfälle aufgrund des ISMS auf ein Minimum beschränkt werden können.
  • Als junges Unternehmen, das in den letzten Jahren stark gewachsen ist zwingt uns ISO 27001 dazu, Verantwortlichkeiten und Pflichten sehr genau zu definieren und damit unsere interne Organisation zu stärken: Wer entscheidet was, wer ist für bestimmte Informationsressourcen verantwortlich, wer muss den Zugang zu Informationssystemen genehmigen usw.

Abschliessend gilt es zu sagen, dass eine Zertifizierung gemäss ISO 27001 unseren Kunden und uns viele Vorteile bietet und es sich hierbei nicht nur um ein weiteres Zertifikat an unserer Wand handelt.

Über die vielen Fallstricke, Schwierigkeiten und Erfahrungen, welche wir bei der Einführung unseres Informationssicherheits-Managementsystems angetroffen und gemacht haben, werde ich in einem künftigen Blogpost schreiben. Jetzt lassen wir vorderhand unser Prüfsiegel einrahmen und feiern die bestandene Zertifizierung.