Ein starkes ISMS – PROMOS erhält Empfehlung zur Zertifizierung nach ISO/EN 27001:2013

Was bedeutet ISO 27001?

Mit der international gültigen ISO Norm 27001 wird die Einhaltung von Richtlinien zur Etablierung, Umsetzung, Aufrechterhaltung und fortlaufenden Verbesserung eines dokumentierten Information Security Management Systems (ISMS) zertifiziert. Ziel ist es dabei, potenzielle Schwachstellen im Unternehmen zu schließen und Sicherheitsrisiken zu minimieren. Mit einer Zertifizierung nach der weltweit bekannten ISO Norm wird die Wirksamkeit des aufgebauten ISMS unter Berücksichtigung des betrieblichen Kontexts unter Beweis gestellt. Nach ISO 27001 zertifizierte Unternehmen gewährleisten in besonderem Maße die Vertraulichkeit und Integrität von Daten sowie die Verfügbarkeit von IT-Prozessen und -Systemen.

Der TÜV Rheinland überprüfte in einem mehrstufigen Prozess das in den vergangenen zwei Jahren aufgebaute ISM-System bei PROMOS mit dem Ergebnis: Klare Empfehlung zur Zertifizierung!

Der mehrjährige Aufbau eines wirksamen ISM-Systems

2021 startete Volker Schulz, Chief Information Officer, gemeinsam mit einem Team aus Expertinnen und Experten und mit der Unterstützung des Beratungshauses HiSolutions AG mit dem Aufbau eines ISMS bei PROMOS. In einem sorgfältigen Verfahren wurden die verschiedensten notwendigen Prozesse entwickelt, etabliert und dokumentiert. Es wurde aufgearbeitet, an welchen Stellen noch Handlungsbedarf besteht und die dafür notwendigen Strukturen geschaffen. In einem fortlaufenden Prozess wurde revisioniert, welche weiteren Maßnahmen ergriffen werden müssen, um ein zuverlässiges ISMS zu schaffen. Schulz erläutert hierzu rückblickend: „Wir sind sehr zufrieden mit der damaligen Entscheidung, uns mit dem Aufbau eines ISMS Zeit zu lassen und die Strukturen und Prozesse des Unternehmens an die Anforderungen eines ISMS gewissenhaft und umfassend anzupassen. Diese Vorgehensweise wurde auch vom TÜV-Rheinland als sehr positiv angemerkt.“

ISO 27001 – Geprüft auf Herz und Nieren

Durch den Auditierungsprozess manövrierte erfolgreich Viktoria Sorgalla als Information Security Officer bei PROMOS. Ihr oblag es, den Prüfenden gewissenhaft Rede und Antwort zu stehen, Strukturen nachzuweisen, Dokumente bereitzustellen und Einblicke in die Systeme sowie Gegebenheiten vor Ort zu geben. Sie sieht die Vorteile einer Zertifizierung vor allem in dem Mehrwert für unsere Kunden: „Wir schaffen mit den definierten Prozessen Handlungssicherheit im Unternehmen und etablieren Standards, die für die Zufriedenheit und Sicherheit unserer Kunden enorm wichtig sind. Unternehmen auf der ganzen Welt können sich dank diesem internationalen Standard darauf verlassen, dass unsere Systeme sowie ihre Daten bei uns sicher sind.“

Der Auditierungsprozess verlief in zwei Stufen. In der ersten Phase wurde intensiv geprüft, ob alle geforderten Dokumente sowie Prozesse vorliegen und eingehalten werden. Die zweite Stufe fokussierte sich auf eine umfassende Reihe von Sicherheits- und Schutzmaßnahmen. Diese werden im sogenannten Annex A der ISO 27001 festgehalten und dienen der Stärkung der Informationssicherheit. Die Prüfer des TÜV Rheinlands haben sich über mehrere Tage ein umfassendes Bild der Standards bei PROMOS verschafft. Dazu gehörte im Kern die Überprüfung des ISMS Handbuches, aber auch Punkte wie mehrstündige Interviews mit Compliance Officer Daniel Rosemeyer, das Studium der Nachweise zum Thema Netzwerksicherheit oder die Überprüfung der Einhaltung der Richtlinie für sichere Softwareentwicklung.

Auditierung durch den TÜV Rheinland – Ein Zwischenergebnis

CIO Schulz und Information Security Officer Sorgalla blicken stolz auf ihre Arbeit: „Die Auditorinnen und Auditoren waren durchweg zufrieden mit dem aufgesetzten ISMS der PROMOS und konnten keinerlei Nicht-Konformitäten feststellen.“ Sorgalla dazu: „Man hat uns in den Gesprächen sogar versichert, dass wir die Messlatte für eine Erstzertifizierung sehr hoch gelegt haben.“

Was bedeutet das für den Zertifizierungsprozess? PROMOS erhält von den Prüfenden die Empfehlung zur Zertifizierung! Die nächsten Schritte bestehen nun darin, dass der erstellte Auditbericht nochmal eingehend in der Zertifizierungsstelle auf Erfüllung der Norm, Vollständigkeit und die korrekte Durchführung des Audits geprüft wird. Schulz dazu: „Das endgültige Ergebnis wird in ein bis zwei Monaten erwartet. Mit der erteilten Empfehlung und aus den Gesprächen heraus blicken wir sehr zuversichtlich auf die letztendliche Entscheidung durch die Mitarbeitenden des TÜV-Rheinlands“ und weiter resümiert er: „Für unsere Kunden stellen wir mit der Etablierung unseres ISMS einmal mehr die hohe Qualität im Umgang mit den uns anvertrauten Daten sowie unserer IT-Infrastruktur unter Beweis. Mit der Zertifizierung bleibt dies nicht mehr nur ein subjektives Gefühl, sondern ist eine geprüfte Tatsache. Mit der voraussichtlichen Zertifizierung nehmen wir auch einen wichtigen Schritt in unserer wachsenden Tätigkeit im internationalen Umfeld.“ Auch in Zukunft wird PROMOS das Thema IT-Sicherheit kontinuierlich beschäftigen. Es handelt sich um einen fortlaufenden Prozess, bei dem Unternehmen sich ständig verbessern müssen, um den neuesten Sicherheitsstandards gerecht zu werden.