Die Zertifizierung gemäß der ISO-Norm 27001 dokumentiert eine risikobewusste Unternehmensführung und ein professionelles Management der Informationssicherheit im Unternehmen. Im Rahmen des Zertifizierungsverfahrens analysierte der TÜV SÜD bei Controlware unter anderem die Aufstellung von Sicherheitsleitlinien, die Personalsicherheit, die physische und umgebungsbezogene Sicherheit, die Zugangskontrolle, den Umgang mit Informationssicherheitsvorfällen, das Business Continuity Management sowie die Compliance-Konformität der IT-Prozesse. "Der Abschlussbericht bescheinigt uns, dass IT-Security bei uns einen sehr hohen Stellenwert genießt und ein integraler Bestandteil der Geschäftsprozesse ist", erklärt Bernd Schwefing, Geschäftsführer von Controlware. "Die Zertifizierung ist für uns in vieler Hinsicht ein wichtiger Meilenstein: Sie hilft uns, Kunden noch besser bei ihrer eigenen Zertifizierung zu unterstützen, ist ein von einer neutralen Instanz ausgestellter Kompetenzbeweis und belegt unsere Leistungsfähigkeit als Anbieter von Managed Services. Daher sind wir stolz, das Zertifikat ohne Einschränkungen erhalten zu haben, und zuversichtlich, dass es das Vertrauen unserer Kunden noch weiter stärken wird."
Controlware richtet sich beim Management seiner Informationssicherheit seit vielen Jahren nach den Vorgaben der ISO 27001 und legt die Norm auch bei der Konzeption und Realisierung von IT-Security-Projekten für Kunden als wichtigen Maßstab an. "Wir orientieren uns an den Best-Practise-Regeln der ISO 27001, weil sie unabhängig von der eigentlichen Zertifizierung einen ausgezeichneten Leitfaden für sichere Infrastrukturen und Prozesse darstellt", erklärt Bernd Schwefing. "Durch diese frühe Weichenstellung lief unsere eigene Zertifizierung vollkommen reibungslos - ebenso wie unsere Kunden das offizielle ISO-Zertifikat für ihre Infrastrukturen in aller Regel im ersten Anlauf erhalten."
Immer mehr Controlware Kunden streben die ISO 27001-Zertifizierung an. Als unabhängiges Qualitätssiegel bietet das Zertifikat den Unternehmen eine Reihe von Vorteilen:
- Es dokumentiert intern und extern das Vorhandensein eines ganzheitlichen, auf Unternehmensprozesse bezogenen Informationssicherheitsmanagements.
- Es stellt sicher, dass die Informationssicherheitsmaßnahmen auch tatsächlich an den IT-Prozessen des Unternehmens ausgerichtet sind.
- Es belegt intern und extern ein Compliance-konformes IT-Risikomanagement, was unter anderem die Arbeit externer Wirtschaftsprüfer spürbar erleichtert.
- Mit der Zertifizierung stellen die Unternehmen automatisch auch die Weichen für eine kontinuierliche Verbesserung des Information Security Managements durch stufenweises Vorgehen ("Plan-Do-Check-Act-Cycle").
Hintergrund: Die ISO-Norm 27001
Die ISO-Norm 27001 ist ein weltweit anerkannter Standard, der eine risikobewusste Unternehmensführung dokumentiert. Der Standard beinhaltet eine umfassende Sammlung von Best-Practise-Verfahren für das Management von Informationssicherheit, wobei der Schwerpunkt auf ganzheitlichen Ansätzen liegt. Darunter fallen das Risikomanagement sowie die Einhaltung finanzieller und vertraglicher Verpflichtungen. Das Zertifikat gilt für drei Jahre und wird jährlich durch Audits überprüft. Nach Ablauf muss wieder ein vollständiges Audit durchgeführt werden. Die Zertifizierung nach ISO 27001 überprüft zehn Maßnahmenbereiche und welche Maßnahmen ergriffen werden, um diese Ziele zu erreichen. Zu den Maßnahmenzielen zählen beispielsweise die Aufstellung von Sicherheitsleitlinien, die Personalsicherheit, die physische und umgebungsbezogene Sicherheit, die Zugangskontrolle, der Umgang mit Informationssicherheitsvorfällen, das Sicherstellen des Geschäftsbetriebs (Business Continuity Management) oder die Einhaltung von Vorgaben (Stichwort: Compliance).