Was ist Informationssicherheit respektive ISO 27001?

In einem Satz ausgedrückt bedeutet Informationssicherheit: Permanente Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Was auf den ersten Blick recht einfach tönt, beinhaltet in Tat und Wahrheit ein umfassendes Regelwerk an Prozessen, Verfahren, personellen, räumlichen und technischen Vorkehrungen welches in einer Firma aufgebaut, etabliert und gelebt werden muss. Genau hier setzt die Norm ISO 27001 an. Sie gibt klare und umfassende Vorgaben zu einem intakten, durchdachten und insbesondere in der Praxis funktionierenden Managementsystem Informationssicherheit, welches die permanente Instandhaltung und Verbesserung aller Aspekte rund um Informationssicherheit gewährleisten soll. Dazu gehört auch das Erkennen und managen von neuen Sicherheitsrisiken (Monitoring). In einem intensiven externen Audit werden diese Vorkehrungen wiederkehrend auf Visibilität, Praktikabilität und Vollständigkeit geprüft.

Das Projekt in der Unico Data AG

Das Thema Informationssicherheit ist für Unico Data AG ein zentrales Dauerthema, dem wir immer die nötige Aufmerksamkeit widmen. So dürfen wir heute feststellen, dass wir in unserer Firmengeschichte auch noch nie einen gravierenden Sicherheitsvorfall zu beklagen hatten. Der Entschluss zur eigentlichen Zertifizierung war somit ein logischer Schritt um unter anderem auch gegenüber unseren Kunden die formale Bestätigung unserer Anstrengungen geben zu können. Als ISO 20000 zertifiziertes Unternehmen wussten wir in groben Zügen, mit welchen Aufwänden wir für die ISO 27001 Zertifizierung rechnen mussten. Vor gut einem Jahr erfolgte durch die Geschäftsleitung der Unico Data AG der Startschuss zum Projekt Zertifizierung ISO 27001. Das Projektteam wurde durch ein Mitglied der Geschäftsleitung geführt, so waren schnelle und durchgängige Entscheide jederzeit gewährleistet.

Ihr Nutzen aus der Zertifizierung

Kurz zusammengefasst, soll die Zertifizierung Ihnen als Kunde folgendes gewährleisten:

  • Maximaler Schutz der Informationen
  • Garantierte Verfügbarkeit und Integrität der Informationen
  • Umfassendes und laufend aktualisiertes Sicherheitsbewusstsein bei allen Mitarbeitenden
  • Management von Risiken
  • Einhaltung der jeweils geltenden gesetzlichen und regulatorischen Auflagen (z.B. Datenschutz)
  • Prozessgestützte Sicherstellung der erforderlichen präventiven und erhaltenden Massnahmen und Vorgaben
  • Sicherstellung der kontinuierlichen Verbesserung aller sicherheitsrelevanten Aspekte

Audit als Kontrolle und Bestätigung des eingeschlagenen Weges

Anfang Mai 2017 wurde unser Managementsystem Informationssicherheit von drei Auditoren auf Herz und Nieren geprüft. Das Auditoren Team nahm Einsicht in die Elemente der Norm wie Prozesse, Dokumentationen und Reglemente. Die technischen Abläufe und angewendeten Tools sowie räumliche Themen wurden eingehend in Bezug auf Informationssicherheit geprüft. Aber auch Themen wie die Strategie, das Management Commitment und das Engagement der Mitarbeiter waren Teil des Audits. Zudem wurden auch unsere technischen Systeme ganz konkret auf Informationssicherheit geprüft.

Mit grosser Freude, Genugtuung und sicher auch etwas Stolz dürfen wir bekanntgeben, dass wir den Meilenstein der Zertifizierung ISO 27001 auf Anhieb erfolgreich erlangt und zugleich auch die Re-Zertifizierung von ISO 20000 geschafft haben! Dies gibt uns die Bestätigung, den eingeschlagenen Weg so fortsetzen zu können oder wie es die Zertifizierungsorganisation SQS ausdrückte: Die Lokomotive der Unico Data AG steht definitiv auf dem richtigen Gleis!