Wir von NETWAYS Managed Services haben kürzlich die ISO 27001-Zertifizierung erhalten – die international anerkannte Norm für höchste Informationssicherheitsstandards.
Das nahm sich Kerstin Stief von data.disrupted zum Anlass, mit Bernd Erk, Geschäftsführer der NETWAYS Unternehmensgruppe, in einem Podcast darüber zu sprechen. Von der generellen Bedeutung der Zertifizierung, den Herausforderungen auf dem Weg dorthin und den Maßnahmen, die zum Schutz sensibler Daten ergriffen wurden – unsere wichtigsten Erkenntnisse auf dem Weg zu dieser Zertifizierung haben wir in diesem Blogpost zum Nachlesen zusammengefasst:
ISO 27001 und deren Relevanz
Die ISO 27001 ist eine international anerkannte Norm, die den Aufbau und die Anforderungen eines robusten Managementsystems für Informationssicherheit beschreibt. Sie wird in Deutschland durch Unternehmen wie den TÜV auditiert und überprüft. Die Zertifizierung ist heutzutage eine Voraussetzung für viele Kunden, die sicherstellen wollen, dass ihre Daten verlässlich und umfassend geschützt werden.
ISMS und dessen Umsetzung
Um die Anforderungen der ISO 27001 in die Praxis umzusetzen, haben wir ein flexibles Informationssicherheits-Managementsystem (ISMS) entwickelt. Dieses ISMS stellt für uns ein zentrales Werkzeug dar, das alle relevanten Sicherheitsprozesse strukturiert abbildet und die Einhaltung der Norm sichert.
Mit BookStack als Open-Source-Lösung dokumentieren wir verbindliche Vorgaben wie Risikoanalysen und Richtlinien – und schaffen so eine solide Grundlage für die sichere Verwaltung unserer Informationen.
Verantwortung für Informationssicherheit
Natürlich erfordert ein ISMS mehr als nur eine technische Dokumentation; es setzt das Engagement des gesamten Teams voraus. Die Verantwortung für die Informationssicherheit beginnt in der Geschäftsführung und wird durch unseren CISO koordiniert, der alle Sicherheitsmaßnahmen überwacht.
Regelmäßige Schulungen und Sensibilisierung stellen sicher, dass jeder unserer Mitarbeitenden die eigene Rolle versteht – ein sicherheitsbewusstes Team ist für uns von entscheidender Bedeutung!
Der Weg zur ISO 27001: Die ersten Schritte
Der Aufbau eines ISMS ist ein Prozess, der mit der Definition des „Scopes“ startet, also der Bereiche, die zertifiziert werden sollen. Dies hat uns geholfen, den Fokus auf besonders kritische Unternehmensbereiche zu legen und gezielt mit dem Sicherheitsaufbau zu beginnen. Asset-Management spielt hierbei auch eine zentrale Rolle, um alle sensiblen Daten und Systeme umfassend zu identifizieren und zu schützen.
Um den Sicherheitsprozess umfassend und effizient zu gestalten, setzen wir auf Open-Source-Tools wie Verinice und Eramba für das ISMS-Management. Diese Lösungen integrieren wir in BookStack, um den Sicherheitsprozess zentral zu dokumentieren und das ISMS für alle Mitarbeitenden zugänglich zu halten. Zudem nutzen wir SnipeIT zur Verwaltung unserer IT-Assets sowie Tools wie Elastic und Graylog für eine kontinuierliche Log-Überwachung.
Durch die Nutzung von Open-Source-Lösungen erhalten wir volle Kontrolle und Flexibilität, um unsere Sicherheitsanforderungen maßgeschneidert umzusetzen.
Die Unterschiede zwischen ISO 27001 und BSI-Grundschutz
Im Hinblick auf die Anforderungen anderer Sicherheitsstandards haben wir uns bewusst für ISO 27001 entschieden, da diese Norm unseren Bedürfnissen mehr Flexibilität bietet. Im Gegensatz zum BSI-Grundschutz, der vor allem in Deutschland etabliert ist, erlaubt ISO 27001 eine gezielte Festlegung des Scopes und ist international anerkannt – ein Vorteil für ein Unternehmen wie unseres mit einer internationalen Zielgruppe.
Herausforderungen für kleine und mittelständische Unternehmen
Für viele kleine und mittelständische Unternehmen, die eine ISO-Zertifizierung anstreben, kann der Aufbau eines ISMS eine Herausforderung sein.
Doch oft besteht bereits eine solide Basis durch bestehende Sicherheitsmaßnahmen wie Backups und Zugangskontrollen. Der Schlüssel liegt darin, diese Maßnahmen zu dokumentieren und gezielt zu verbessern, ohne die bewährten Abläufe unnötig zu verändern.
So wird die Einführung des ISMS zu einer praktischen und nachhaltigen Bereicherung für die Unternehmen.
Risikomanagement und Sensibilisierung als langfristige Strategie
Die laufende Anpassung und Verbesserung der Sicherheitsmaßnahmen ist ein fortwährender Prozess, der auch in Zukunft von Bedeutung bleibt. Cloud-Dienste sind heute weit verbreitet und bringen neue Herausforderungen in Bezug auf Vertrauen und Transparenz mit sich.
Durch Sensibilisierungsmaßnahmen wie Multi-Faktor-Authentifizierung und eine kontinuierliche Schwachstellenanalyse fördern wir ein Sicherheitsbewusstsein im Unternehmen – nicht nur zur Erfüllung gesetzlicher Anforderungen, sondern auch aus wirtschaftlichem Interesse.
Fazit
Unser Weg zur ISO 27001-Zertifizierung hat uns als Unternehmen in der Informationssicherheit weitergebracht. Dank unserem CISO Markus Waldmüller, unserem CEO Managed Services Sebastian Saemann und Unterstützung von Uwe Schmidt haben wir die NETWAYS Managed Services GmbH in nur 10 Monaten zur erfolgreichen Zertifizierung geführt, darauf sind wir durchaus stolz.
Für NETWAYS Managed Services bedeutet diese Zertifizierung nicht nur eine offizielle Bestätigung, sondern eine Verpflichtung, Sicherheitsstandards nachhaltig und effizient zu gestalten. Damit stärken wir nicht nur das Vertrauen unserer Kunden, sondern erfüllen auch unseren eigenen Anspruch an höchste Sicherheitsstandards.
0 Kommentare