ISO/IEC 27001-Zertifikat für Knipp

Datenschutz und die Sicherheit aller informationsverarbeitenden Prozesse sind wichtige Eckpfeiler der Unternehmensphilosophie von Knipp.

Das gilt für sämtliche Geschäftsfelder, in denen wir tätig sind: vom Domaingeschäft über die Softwareentwicklung und den Betrieb des Rechenzentrums bis hin zur Druckverarbeitung. Um die Effektivität der Informationssicherheit nach außen transparent zu machen und insbesondere für Kunden und Partner zu beurkunden, haben wir unsere umfangreichen Sicherheitsmaßnahmen und Prozesse zertifizieren lassen.

Dies ist ein aufwändiger Prozess, da die betreffenden Unternehmensbereiche bis hinunter auf ein sehr niedriges Abstraktionsniveau betrachtet werden müssen. Im Fall von Knipp umso mehr, da die ISO 27001-Zertifizierung nach dem sogenannten Full-Scope-Ansatz erfolgte und sämtliche Dienstleistungen, Infrastrukturen und Prozesse umfasst.

Ganz im Sinne dieser Transparenz finden Sie im Folgenden einige Hintergrundinformationen zur ISO 27001-Norm und zur Umsetzung des Informationssicherheitsstandards bei Knipp.

ISO-Norm oder IT-Grundschutz?

In Deutschland kann grundsätzlich zwischen einer Zertifizierung nach ISO 27001 oder gemäß des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik gewählt werden.

Die Entscheidung des neu gegründeten, abteilungsübergreifenden Zertifizierungsteams bei Knipp fiel zugunsten des ISO 27001-Standards. Hauptgrund dafür war die Flexibilität der internationalen Norm, die die Umsetzung individueller Sicherheitsmaßnahmen möglich macht.

Das ISMS von Knipp

Der ISO 27001-Standard fordert die Umsetzung und Aufrechterhaltung unternehmensspezifischer Prozesse und Vorgaben zur Wahrung der Informationssicherheit – das sogenannte Information Security Management System (ISMS).

Der erste Schritt zu dessen Einführung war die Durchführung einer Bestandsaufnahme: Zur Identifikation der geschäftskritischen Prozesse fanden Interviews mit Vertretern der einzelnen Abteilungen statt. Aufbauend auf der bereits vorhandenen Dokumentation und in enger Abstimmung mit den jeweils zuständigen Mitarbeitern wurden ISO 27001-relevante Vorgaben erarbeitet.

Risikoanalyse

Ein wesentlicher Bestandteil der ISO 27001-Zertifizierung ist die Risikoanalyse. Dazu ist es in einer ersten Iteration erforderlich, sämtliche geschäftskritischen Prozesse und die zugehörigen Unternehmenswerte (die sogenannten Assets) zu analysieren. Potenzielle Bedrohungen für Informationswerte müssen identifiziert und die Systeme und Abläufe auf mögliche Schwachstellen geprüft werden.

Risikohandhabung

Die ermittelten Bedrohungen werden dann bewertet, um schließlich über das Risikomanagement zu entscheiden. Bei Knipp wird den meisten Risiken direkt begegnet, indem geeignete Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit und zur Folgebekämpfung implementiert werden.

Planning Meeting

Plan – Do – Check – Act

Die Themen Risikoanalyse und -handhabung sind nie abgeschlossen. Assets, Prozesse und die getroffenen Einschätzungen und Maßnahmen müssen ständig hinterfragt und das ISMS permanent an geänderte Rahmenbedingungen angepasst werden. Nur so kann die Aufrechterhaltung der Informationssicherheit gewährleistet werden.

Das ISO 27001-Team ist in regelmäßigen Sitzungen aktiv, um notwendige Schritte zu identifizieren und für deren Umsetzung zu sorgen – auch kurzfristig, falls das erforderlich sein sollte. Neben den internen Prüfungen wird das ISMS natürlich auch regelmäßig durch externe Audits verifiziert.

Knipp Team

Zentral: die Mitarbeiter

Das Information Security Management System ist Dreh- und Angelpunkt für den Nachweis eines funktionierenden Sicherheitskonzeptes. Entscheidend dafür, dass es im Unternehmen erfolgreich Anwendung findet, ist jedoch das Sicherheitsbewusstsein der Mitarbeiter.

Informationssicherheit und Datenschutz sind seit jeher hohe Werte bei Knipp, die von unseren Mitarbeitern in der Praxis auch gelebt werden. Alle Kollegen bei Knipp waren während der Erarbeitung der Grundlagen für das ISMS entweder direkt involviert oder wurden entsprechend informiert. In Schulungen mit maximal sechs Personen wurden beispielsweise die Grundprinzipien und die eingesetzten Hilfsmittel für das ISMS vorgestellt und in abteilungsspezifischen Arbeitsgruppen die Umsetzungsdetails festgelegt.

Historie der ISO 27001-Norm

Der Ursprung von standardisiertem Sicherheitsmanagement in der Informationsverarbeitung liegt im angelsächsischen Raum.

Erstmalig wurde 1995 im British Standard 7799 eine Sammlung von Hinweisen, Maßnahmen und bewährten Praktiken für die Informationssicherheit veröffentlicht. Drei Jahre später erschien dazu eine Ergänzung, welche in Form von Spezifikationen ein Modell eines ISMS beschrieb. 2002 ist explizit der PDCA-Zyklus (Plan – Do – Check – Act), ein iterativer Problemlösungsprozess, hinzugekommen. Erst im Jahr 2005 erfolgte dann die Überführung der Vorgaben in die ISO 27001.