Inside ISO:
Wie wir als junges Startup die ISO-Zertifizierung geschafft haben (und du das auch kannst)

Vor kurzem haben wir die Zertifizierungen für die international anerkannten ISO-Normen 27 001 und 9 001 erfolgreich bestanden.

Damit weisen wir nach, dass wir ein Managementsystem für Informationssicherheit und Qualität implementiert haben und einen kontinuierlichen Verbesserungsprozess in diesen Bereichen voranbringen.

Aber wie schafft man das als junges Startup mit gerade einmal vier Mitarbeitenden auf ungefähr drei Vollzeitstellen?

Ist der Aufwand machbar? Und was kostet das? Wir öffnen die Vorhänge und werfen einen Blick hinter die Kulissen.

Warum ISO 27 001 und 9 001?

Foto: Unsplash

Seit unserer Unternehmensgründung 2020 setzen wir mit Friendly auf Datenschutz und Informationssicherheit. In den ersten Geschäftsjahren hat sich gezeigt, dass wir damit gut positioniert sind. Mehr und mehr erreichen uns Anfragen von Unternehmen, die grossen Wert auf Compliance legen: Versicherungen, Banken und Firmen im Gesundheitssektor.

2023 verloren wir allerdings einen wichtigen Grossauftrag im Prozess der Compliance-Prüfung, weil wir keine anerkannte Sicherheitszertifizierung vorweisen konnten.

Wir gewannen damit die Erkenntnis, dass unser Angebot auch für sicherheitssensible Grossunternehmen und öffentliche Verwaltungen interessant und relevant ist. Diese Zielgruppe hat hohe Anforderungen an die Informationssicherheit.

Da wir in dieser Zielgruppe ein grosses Potential für uns sehen, entschieden wir uns, die Anstrengungen und Kosten auf uns zu nehmen und uns für ISO 27 001 zertifizieren zu lassen.

Die ISO-Norm 27 001 ist der weltweit wichtigste Standard im Bereich Informationssicherheit. Er beinhaltet die Einführung eines Informationssicherheits-Managementsystems (ISMS) – ein systematischer Zugang, der Menschen, Prozesse und IT-Systeme umfasst. Mehr zu ISO 27 001 in unserem Blogpost.

Einzig in den USA ist im Bereich Informationssicherheit die Zertifizierung SOC 2 wichtiger als ISO 27 001. Da unsere Hauptmärkte aber die Schweiz und die EU sind, ist ISO 27 001 für uns relevanter.

In der Vorbereitung erfuhren wir, dass ISO 27 001 viele Überschneidungen mit ISO 9 001 hat, der ISO-Norm für Qualitätsmanagement. Mit überschaubarem Mehraufwand sollte es möglich sein, sich für beide Normen gemeinsam zertifizieren zu lassen. Deshalb entschieden wir uns zusätzlich für ISO 9 001. Mehr darüber hier.

Uns überzeugte bei beiden ISO-Normen, dass sie ein grosses Potential für firmeninterne Verbesserungen bieten. Die Normen weisen eine grosse Flexibilität in Bezug auf ihre Anforderungen auf. Dadurch wird bürokratischer Leerlauf minimiert.

Ihr evidenzbasierter und zielorientierter Ansatz erlaubt es, dort Verbesserungen zu priorisieren, wo konkreter Handlungsbedarf besteht oder wesentliche Ziele erreicht werden können. Dieser Ansatz hat uns überzeugt.

Was ist ISO?

Hinter den ISO-Normen steht die Internationale Organisation für Normung, die international einheitlich mit ISO abgekürzt wird. Sie ist ein internationaler Zusammenschluss von Normungsorganisationen und erarbeitet seit 1947 internationale Standards in verschiedenen Bereichen.

Die ISO selbst überwacht aber nicht die Zertifizierung der ISO-Normen. Sie ist sozusagen die Legislative. Den judikativen Teil, also die Überprüfung der Normkonformität, übernehmen unabhängige Zertifizierungsgesellschaften. Diese wiederum werden in der Schweiz von der Schweizerischen Akkreditierungsstelle (SAS) überwacht.

Grundsätzlich ist es möglich, sich selbständig über die ISO-Anforderungen zu informieren, diese umzusetzen und sich selbst die Normkonformität zu bestätigen. Die Glaubwürdigkeit einer solchen Selbstbescheinigung wäre aber natürlich gering.

Deshalb ist der gängige Weg, die Normerfüllung von einer anerkannten Zertifizierungsstelle nachweisen zu lassen. Die Zertifizierungsstelle führt registrierte Siegel, sodass Aussenstehende die Legitimität der ISO-Zertifizierung überprüfen können.

Wie läuft der Zertifizierungsprozess ab?

Kurz überblickt sieht der Fahrplan zur ISO-Zertifizierung so aus. Das sind die ersten Schritte:

  • Auswahl der ISO-Zertifizierungen: Es kann sinnvoll sein, mehrere Zertifizierungen gemeinsam zu erwerben. Manchmal gibt es Synergien, die genutzt werden können.
  • Auswahl einer Beratungsfirma oder Softwarelösung: Dieser Schritt ist optional, aber sehr empfehlenswert.
  • Auswahl einer Zertifizierungsstelle: Die Zertifizierungsstelle wird den Audit durchführen und das Zertifikat ausstellen.

Dann folgt die Vorbereitung auf den Audit, entweder selbständig oder mit Hilfe eines Beraters.

  • Anforderungen verstehen: Dazu können die offiziellen ISO-Dokumente (hier etwa für ISO 27 001) verwendet werden – oder eine Beraterin erklärt Anforderungen und Ablauf.
  • Standards implementieren: Die ISO-Normen verlangen etwa Dokumentationen, die Einrichtung eines Managementsystems und die Implementierung leistungsfähiger Prozesse.
  • Anmeldung zum Zertifizierungsaudit: Die Anmeldung kann erfolgen, sobald eine realistische Frist zur Implementierung der Normen gesetzt werden kann.

Der nächste Schritt ist die Zertifizierung:

  • Erstzertifizierungsaudit: In der Regel ein ganztätiges Treffen vor Ort, in dem der Prüfer mit der Geschäftsleitung die Umsetzung der ISO-Standards anschaut.
  • Zertifizierung mit Auditbericht: Ist alles gut gelaufen, erhält das Unternehmen innerhalb einiger Wochen die Zertifizierung und einen ausführlichen Auditbericht. Von jetzt an dürfen die Zertifizierungssiegel verwendet und kommuniziert werden.
  • Auflagen aus Auditbericht umsetzen: Der Auditbericht enthält in aller Regel Auflagen oder Verbesserungsvorschläge, die bis zum nächsten Audit umgesetzt werden sollen.

Es geht weiter – nach dem Audit ist vor dem Audit. In den Folgejahren stehen jährliche Audits an:

  • Überprüfungsaudit im 2. Jahr: Ein Jahr nach der Erstzertifizierung wird die Leistungsfähigkeit der eingerichteten Systeme und Prozesse überprüft.
  • Überprüfungsaudit im 3. Jahr: Ein Jahr später findet ein weiterer Überprüfungsaudit statt.
  • Re-Zertifizierung im 4. Jahr: Alle drei Jahre erfolgt die Re-Zertifizierung mit einem umfangreicheren Audit. Alle Unterlagen und Systeme werden neu bewertet.

ISO mit oder ohne Unterstützung?

Auf dem Weg zur ISO-Zertifizierung gibt es zwei verschiedene Möglichkeiten, Unterstützung in Anspruch zu nehmen.

Einerseits gibt es Softwarelösungen. Für ISO 27 001 kommen etwa Vanta, SecJur oder SecFix in Betracht. Diese bieten die Vorbereitung auf die Zertifizierung und Umsetzung der geforderten Massnahmen über eine Software an. Dazu versprechen sie ein begrenztes Mass an persönlicher Unterstützung.

Wir recherchierten verschiedene Angebote in diesem Bereich und entschieden uns schliesslich gegen eine Softwarelösung. Unsere persönlichen Gründe dafür waren:

  • Uns schien das Preis/Leistungs-Verhältnis nicht ideal. Die Lösungen waren gleich teuer oder sogar teurer als eine Beratungsfirma. Sie bewegten sich im Rahmen von 10 000 bis 20 000 CHF für die Software inklusive limitiertes Consulting.
  • Als kleines Startup scheuten wir uns vor One-size-fits-all-Lösungen. Wir gehen davon aus, dass eine Software nur bis zu einem gewissen Grad auf unsere spezielle Situation als sehr kleine Firma mit einem spezifischen Angebot eingehen kann. Eine Standardumsetzung von ISO könnte für uns zu sperrig sein.

Uns fiel im Kontakt mit den Softwareanbietern auf, dass sie wirklich gute Verkäufer waren. Sie reagierten schnell und professionell auf unsere Anfragen und konnten sich gut präsentieren. Meist war es möglich, direkt auf der Webseite einen Beratungstermin zu buchen, was wir sehr schätzten.

Eine weitere Möglichkeit der Unterstützung im ISO-Prozess bieten Beratungsunternehmen. Sie haben den Vorteil, dass sie auf konkrete Bedürfnisse individuell eingehen können. Davon erwarteten wir weniger unnötigen Aufwand.

Im Sales waren die Beratungsfirmen, die wir auf unsere Shortlist gesetzt hatten, leider teilweise weniger gut aufgestellt und brauchten über eine Woche, um auf unsere Anfragen zu antworten. Die Firma, die in unsere engste Auswahl kam, war eine positive Ausnahme und reagierte sehr zeitnah auf unsere Nachrichten.

Wir entschieden uns schliesslich aus folgenden Gründen für diese Beratungsfirma:

  • Uns gefiel ihr fokussierter und pragmatischer Ansatz. Sie stellten in Aussicht, den Prozess auf uns als kleine Firma zuzuschneiden. Wir sollten uns nicht mit Massnahmen aufhalten, die für unsere Unternehmensgrösse gar nicht relevant wären.
  • Wir schätzten, dass es sich um eine Schweizer Anbieterin handelt, die mit den geschäftlichen und gesetzlichen Rahmenbedingungen in der Schweiz vertraut ist.
  • Wir hatten eine persönliche Referenz einer Geschäftspartnerin, die positive Erfahrungen mit dieser Firma gemacht hat.
  • Für uns als Startup hat auch das faire Preisangebot eine Rolle gespielt (pauschal 15 000 CHF, mehr zu den Kosten weiter unten).

Als dritter Weg kommt auch in Frage, die ISO-Vorbereitung komplett eigenständig mit Ressourcen aus dem Internet durchzuführen. Für uns war das nicht realistisch, weil uns die personellen Ressourcen zur Einarbeitung fehlen. Wir bezweifeln auch, dass sich diese Lösung rechnet. Die benötigten Personalkosten könnten unserer Einschätzung nach die Kosten für die externe Beratung schnell übersteigen.

Nach der Wahl der Beratungsfirma wählten wir eine Zertifizierungsstelle. Wir recherchierten, mit welchen Zertifizierungsstellen andere Schweizer Firmen im Techbereich zusammenarbeiten (das ist auf ihren Zertifizierungssiegeln ersichtlich), achteten besonders auf Schweizer Anbieter und verglichen auch hier die Preise.

Nachdem die Verträge unterschrieben und die ersten Termine gesetzt waren, legten wir los.

Unsere Beratungstreffen

Den Auftakt zur Zertifizierung bildete ein erstes Treffen mit unserem Berater im August 2023 in unserem Friendly-Büro in Hergiswil am schönen Vierwaldstättersee. Er gab uns anschaulich und mit seinen charakteristischen Whiteboardzeichnungen ein erstes Verständnis der Zertifizierungsanforderungen.

In drei weiteren Treffen erklärte unser Berater uns jeweils weitere Elemente der ISO-Normen und ging auf die Fragen ein, die sich inzwischen ergeben hatten. Dieser persönlich auf uns zugeschnittene Ablauf war für uns unschätzbar hilfreich, da die ISO-Norm selbst keine didaktischen Hilfestellungen gibt. Wir wurden Schritt für Schritt durch die Anforderungen geführt und bekamen eine klare Orientierung.

Die weiteren Treffen fanden in monatlichen Abständen statt, damit wir jeweils genug Zeit hatten, um die nächsten Aufgaben umzusetzen.

Für uns waren diese insgesamt vier Treffen in vier Monaten ausreichend. Wir arbeiteten zwischen den Treffen sehr effizient und zielgerichtet, sodass wir den Fahrplan sogar überholten. Je nach Grösse und Struktur einer Firma kann dieser Prozess aber auch deutlich über ein Jahr dauern.

Unsere Aufgaben bis zur Zertifizierung

Diese Aufgaben nahmen wir nacheinander in Angriff:

  • Beweismittelliste zusammentragen: Um den Ist-Zustand unserer Firma zu dokumentieren, galt es, eine Beweismittelliste zusammenzustellen: Informationen über alle Bereiche unseres Unternehmens, die dokumentieren, dass wir eine solide geführte und organisierte Firma sind. Dazu gehören etwa Organigramme, Arbeitsverträge, Unternehmensziele, Geschäftsbilanzen, Produktbeschreibungen und die Darstellung unserer IT-Infrastruktur.
Ein Ausschnitt aus der Risiko-Checkliste für ISO 9 001
  • Risiko-Checklisten und Statement of Applicability ausfüllen: Ein zentraler Bestandteil der Anforderungen für ISO 27 001 und ISO 9 001 sind zwei Risiko-Checklisten: Mögliche Risikofaktoren in den Bereichen Unternehmensqualität und Informationssicherheit werden identifiziert und individuell je nach Risikopotential gewichtet, um die wichtigsten Entwicklungsbereiche im Unternehmen zu identifizieren. Die ISO 27 001 hat zusätzlich ein sogenanntes «Statement of Applicability» mit 93 Kontrollpunkten zur Informationssicherheit, die nach Relevanz gewichtet werden. Wir gingen alle Risikofaktoren und Kontrollpunkte sorgfältig durch und bewerteten sie in Bezug auf unser Unternehmen.
  • Arbeitsumgebung einrichten: Wir richteten eine Arbeitsumgebung in unserem Workspace ein, um alle für den ISO-Prozess relevanten Dokumente, Checklisten und Aufgaben an einem Ort zu versammeln. Wir verwenden Notion als Team-Workspace, und die ISO-Arbeitsumgebung liess sich darin nahtlos einbinden.
  • Kontinuierlichen Verbesserungsprozess verstehen: Der kontinuierliche Verbesserungsprozess (KVP) ist eines der wichtigsten Konzepte der ISO-Normen 27 001 und 9 001. Der Anspruch beider Normen ist nicht sofortige Perfektion, sondern ein risikobasierter und zielorientierter Ansatz: Verbesserungen sollen dort in Angriff genommen werden, wo tatsächliche und dringende Risiken bestehen oder aktuelle und wesentliche Ziele erreicht werden können.
Ein Ausschnitt aus unserem Kanban-Taskboard, Stand Januar 2024
  • Managementsystem einrichten: Wir integrierten ein Kanban-Taskboard in unsere Arbeitsumgebung, mit dem wir unsere Verbesserungsmassnahmen erfassen, überwachen und umsetzen können. Alle Tasks sind mit unseren persönlichen Taskboards verknüpft. Damit stellen wir sicher, dass die ISO-Aufgaben im Geschäftsalltag nicht untergehen.
  • Offene Fragen klären & Material überarbeiten: Immer wieder klärten wir mit unserem Berater offene Fragen, die sich im Verlauf unserer Arbeit ergeben hatten, und überarbeiteten daraufhin unser Material. So entwickelte sich zum Beispiel unser Verständnis davon, wie in den Risiko-Checklisten die Wahrscheinlichkeiten von 1 bis 6 zu verstehen sind. Die externe Begleitung war in diesen und vielen weiteren Punkten ein grosser Vorteil für uns.
  • Excel-Tabellen in unser System übertragen: Wir entschlossen uns im Verlauf des Prozesses, die Excel-Risikotabellen in unsere Notion-Arbeitsumgebung zu übertragen. Das erlaubt uns, die Kontrollpunkte mit den geplanten Massnahmen zu verknüpfen und damit viel einfacher den Überblick zu behalten.
Unsere individuelle Risikomatrix für ISO 27 001
  • Kritische Risikofaktoren bestimmen: Wir bestimmten in Absprache mit unserem Berater die kritischen Risikofaktoren und dringenden Kontrollpunkte in den Checklisten, um Verbesserungen zuerst in diesen Bereichen in Angriff zu nehmen. Für uns als Softwarefirma ist etwa das Risiko eines Hackerangriffs sehr relevant, sowie das Management von Datensicherheitsvorfällen.
  • Massnahmen ableiten: Aus den wichtigsten Kontrollpunkten leiteten wir konkrete Umsetzungsmassnahmen ab, die wir in unser Kanban-Board in Notion eintrugen. Diese Aufgaben enthalten eine Referenzierung zum Kontrollpunkt, Angaben zu den Verantwortlichen, einen Termin und meist auch bereits inhaltliche Notizen.
  • Management Reviews und interne Audits planen: Management Reviews und interne Audits sind hilfreiche Instrumente, um die Konformität mit den Qualitäts- und Sicherheitsanforderungen im Auge zu behalten. Wir integrierten diese in unsere Planung. Pro ISO-Norm und Jahr werden wir mindestens einen internen Audit durchführen, dessen Thema wir wiederum anhand wichtiger Kontrollpunkte bestimmen.
  • Regelmässige Überprüfung aller Bereiche vorausplanen: 1–2x jährlich werden wir die Risiko-Checklisten und das Statement of Applicability aktualisieren, um den Stand der Verbesserungen zu überprüfen. Wir setzten auch Termine, um die Managementreviews und internen Audits für die Folgejahre zu planen.
  • Letzte Abklärungen für den Zertifizierungsaudit: Den Schlussspurt bildete eine letzte Überprüfung unseres Managementsystems gemeinsam mit unserem Berater.

Unser Managementsystem

Unser fertig eingerichtetes Managementsystem, mit dem wir die Anforderungen für ISO 27 001 und 9 001 abbilden und umsetzen, umfasst aktuell folgende Elemente:

  • Überblick und Ressourcen: Ein Bereich, in dem wir unsere Beweismittelliste, die Auditberichte, Vorlagen und weitere Hilfsmittel und Ressourcen ablegen.
  • Checklisten und Statement of Applicability: Hier liegen die von den ISO-Normen vorgegebenen Kontrolllisten, anhand derer wir unsere Verbesserungen messen können.
  • Kontinuierlicher Verbesserungsprozess: Das Kanban-Taskboard für die ISO-Massnahmen. Wie gesagt werden alle ISO-Tasks auch auf unseren jeweiligen persönlichen Taskboards angezeigt.
  • Interne Audits: Eine Datenbank, in der wir interne Audits planen und die Protokolle der bisherigen internen Audits ablegen.
  • Management Reviews & Unternehmensziele: Eine Datenbank, in der wir unsere jährlichen Management Reviews ablegen, sowie ein Überblick über unsere Qualitätsziele, IS-Ziele und KPIs.
Ein Ausschnitt aus unserem Managementsystem

Wie bereits erwähnt profitieren wir von Synergien zwischen den ISO-Normen 9 001 und 27 001, da beide die Einführung eines Managementsystems verlangen, mit unterschiedlichen Schwerpunkten. Das kann ein gemeinsames Managementsystem sein, in dem die Massnahmen für beide Bereiche verwaltet werden, für Qualitätsmanagement und für Informationssicherheit.

Die Erstzertifizierung

Ende November fand unser Erstzertifizierungsaudit statt. Wir trafen uns mit dem Prüfer in unseren Geschäftsräumen in Hergiswil und präsentierten in einem ganztätigen Meeting unser Managementsystem.

Diese Themen waren Bestandteil des Audits:

  • Übersicht über das Managementsystem
  • Betrieb des Managementsystems
  • Unser ausgefülltes Statement of Applicability
  • Leistungsfähigkeit unseres Systems
  • Geplante interne Audits
  • Unser KVP (kontinuierlicher Verbesserungsprozess)

Zum Abschluss des Gesprächs schlug der Auditor uns Verbesserungsmöglichkeiten und Aufgaben vor, die wir als nächstes in Angriff nehmen sollten. Dazu gehört etwa das Incident Management: Die Ausarbeitung von Prozessen und Richtlinien im Fall eines Datensicherheitsvorfalls, für uns als Softwarefirma ein relevantes Thema.

Der Auditor sicherte uns gleichzeitig zu, dass wir den Audit bestehen würden. Einige Wochen später erhielten wir unsere Zertifikate für ISO 27 001 und 9 001 sowie einen ausführlichen Auditbericht.

Die nächsten Schritte

Unser Auditbericht hielt fest, dass unser Managementsystem die Konformitätsanforderungen von ISO 27 001 und 9 001 erfüllt und wir dementsprechend die Zertifizierungen ohne weitere Auflagen erhalten.

Hier geht es zur Übersicht unserer aktuellen Zertifizierungen.

Das Prinzip der ISO-Normen sieht jedoch vor, dass laufend Verbesserungen umgesetzt werden. Dementsprechend gibt der Auditbericht einige verbindliche sowie einige unverbindliche Vorschläge für Verbesserungen, die bis zum nächsten Überprüfungsaudit umgesetzt werden können oder sollen.

Ein Ausschnitt aus unserem Auditbericht mit Verbesserungsvorschlägen

Weitere Massnahmen, die wir umsetzen werden, ergeben sich aus den Checklisten der beiden ISO-Normen.

Wir werden etwa Mitarbeiterreglemente erlassen, einen Geschäftskontinuitätsplan vorlegen, Informationssicherheits-Ziele definieren und überprüfen und Penetration Tests durchführen.

In diesem Jahr ist zentral, dass das Managementsystem in der Praxis funktioniert und der Verbesserungsprozess gelebt wird. Das wird der Hauptfokus des Überwachungsaudits im nächsten Jahr sein.

Und für uns als Firma ist wichtig, dass dieser Verbesserungsprozess uns nicht nur ein werbewirksames Siegel schenkt, sondern einen echten Mehrwert für unser Unternehmen schafft.

Der Mehrwert von ISO

Foto: Unsplash

Wir waren von Anfang an überzeugt, dass die Zertifizierungen für ISO 27 001 und 9 001 einen Mehrwert für uns und unsere Kundinnen schaffen würden. Deshalb haben wir die für uns nicht unerheblichen Kosten (siehe unten) in Kauf genommen.

In der Zwischenzeit hat sich bestätigt: Beide ISO-Normen bieten sinnvolle Verbesserungsanregungen, die wir gerne umsetzen werden. In beiden Bereichen wurden die ISO-Normen aus einer reichen Erfahrung gebildet und decken ein umfangreiches Spektrum an Risiken und Kontrollpunkten ab.

Anhand der Kontrollpunkte können wir die unterschiedlichsten Bereiche und Prozesse auf ihr Verbesserungspotential hin reflektieren und diejenigen identifizieren, in denen wir die effizientesten Resultate erreichen können. Das bringt uns nachhaltig weiter.

Davon profitieren unsere Kunden in folgenden Bereichen:

  1. Erhöhte Sicherheit: Wir haben ein Informationssicherheits-Managementsystem (ISMS) eingeführt, das internationalen Standards entspricht. Dadurch ist sichergestellt, dass wir über ein funktionsfähiges, robustes, entwicklungsfähiges System zum Schutz der Daten verfügen.
  2. Compliance: Unsere Kunden erhalten durch unsere ISO-27 001-Zertifizierung einen Nachweis, dass wir die geltenden gesetzlichen Vorschriften bezüglich IT-Sicherheit und Datenschutz kennen und umsetzen. Das unterstützt auch sie in der Einhaltung ihrer rechtlichen Verpflichtungen.
  3. Qualität und Zuverlässigkeit: Unsere Kund:innen können darauf vertrauen, dass wir als zertifiziertes Unternehmen konsequent hochwertige Produkte und Dienstleistungen liefern.
  4. Engagement für kontinuierliche Verbesserung: Wir verpflichten uns, unsere Angebote und Prozesse kontinuierlich aktiv zu verbessern. Unsere Kund:innen können davon ausgehen, dass sie mit einem langfristig erfolgreichen Unternehmen zusammenarbeiten.

Weitere Mehrwerte: Siehe unsere Blogposts zu ISO 27 001 und ISO 9 001.

Der Mehrwert der externen Beratung

Wir sind im Rückblick sehr zufrieden, dass wir die Unterstützung durch einen externen Berater in Anspruch genommen haben. Das hat uns in folgenden Bereichen entscheidend weitergebracht:

  • Überblick: Die Anforderungen der ISO-Normen sind umfangreich. Unser Berater führte uns didaktisch durch alle Konzepte und Materialien. Dadurch hatten wir jederzeit einen guten Überblick.
  • Erklärungen: Einige Formulierungen und Anforderungen waren für uns nicht ohne weiteres verständlich. Unser Berater beantwortete unsere Fragen und lieferte hilfreiche Erklärungen.
  • Fahrplan zur Umsetzung: Es bleibt jedem Unternehmen selbst überlassen, einen Umsetzungsplan zu erarbeiten. Unser Berater bereitete diesen Prozess für uns vor und gab uns jeweils die konkreten nächsten Aufgaben vor.
  • Priorisierung: Die beiden ISO-Normen beinhalten insgesamt über 180 Kontrollpunkte. Unser Berater half uns anhand seiner Erfahrung, die richtigen Schwerpunkte zu setzen und dadurch nicht zu viel auf einmal in Angriff zu nehmen.
  • Materialien: Unser Berater stellte uns zusätzliche Materialien und Vorlagen zur Verfügung, etwa für Management Reviews, interne Audits oder das Asset Management.

Zusätzlich gab uns unser Berater einen unabhängigen Blick auf die Leistungsfähigkeit unserer Firma. Es hat uns gefreut, dass er uns aus seiner Aussenwahrnehmung bescheinigte, dass unsere Firma bereits vor der Zertifizierung sehr solide organisiert war. Damit hatte er bei einem jungen Startup nicht unbedingt gerechnet.

Das motivierte uns und gab uns Zuversicht, dass wir den ISO-Prozess gut bewältigen würden.

Herausforderungen

Foto: Unsplash

Für die nächsten Jahre sehen wir drei Herausforderungen, denen wir begegnen müssen:

  1. Weitere Umsetzung: Wir haben unser Managementsystem erfolgreich eingerichtet. Die eigentliche Prüfung ist aber, dass das System in der Praxis leistungsfähig ist und kontinuierliche Verbesserungen in Gang setzt. Wir operieren mit nur vier Mitarbeitenden und müssen sehr gut priorisieren, um genug Arbeitszeit für die weitere ISO-Umsetzung zur Verfügung zu stellen. Darauf müssen wir gut achten.
  2. Neue Kunden: Wir haben in die Zertifizierungen investiert, um das Marktpotential im Bereich sicherheitssensibler (grösserer) Kunden zu aktivieren. Jetzt liegt es an uns, dieses Potential in neue Aufträge umzuwandeln.
  3. Finanzen: Die Zertifizierungskosten waren nicht gering. Wir werden sehen, ob wir dieses Geld gut angelegt haben. Mehr darüber im nächsten Abschnitt:

Was hat uns die ISO-Zertifizierung gekostet?

Der finanzielle Aufwand für eine Zertifizierung der ISO-Norm 27 001 kann je nach Grösse, Komplexität und Struktur eines Unternehmens stark variieren.

Als Open Startup teilen wir auch die Kosten, die Friendly für diese Zukunftsinvestition in Kauf genommen hat. Da wir gleichzeitig für ISO 9 001 zertifiziert wurden und sich der Aufwand weitgehend überschneidet, gelten die Zahlen für beide Zertifizierungen zusammen.

Für die Vorbereitung auf den Audit und die Einrichtung des Managementsystems in unserer Firma haben wir wie gesagt einen externen Berater in Anspruch genommen. Das hat uns pauschal 15 000 CHF gekostet für alle Aufwände bis zur erfolgreichen Erstzertifizierung.

Dazu kommen die internen Personalkosten. Unser CEO Stefan Vetter hat etwa 40 Arbeitsstunden in die Vorbereitungen für die Zertifizierungen investiert, unsere CISO Kathrin Schmid etwa ein 16%-Pensum während 4 Monaten.

Stefan zahlt sich zwar als Gründer und alleiniger Investor von Friendly bisher selbst noch keinen Lohn aus. Wir haben als Berechnungsgrundlage für ihn einen internen Stundensatz von 100 CHF veranschlagt. So gerechnet betragen unsere Lohnkosten für die Vorbereitung auf die Zertifizierung insgesamt 10 114 CHF.

Der Erstzertifizierungsaudit und die Zertifikatserteilung kosteten uns nochmals 5 820 CHF.

Damit kostet uns die ISO-Erstzertifizierung 30 934 CHF.

In den Folgejahren wird der Beratungsaufwand kleiner sein. Aber jedes Jahr gilt es, weitere Massnahmen umzusetzen und den jährlichen Überwachungsaudit sowie nach jeweils drei Jahren den Rezertifizierungsaudit zu bestehen.

Die Verantwortung für die kontinuierliche Umsetzung der Massnahmen wird hauptsächlich bei Kathrin liegen. Wir rechnen – grob geschätzt – mit einem dauerhaften notwendigen Pensum von etwa 10% für diese Aufgabe, was berechnet an Kathrins aktuellem Lohn 11 463 CHF pro Jahr entspricht.

Dazu rechnen wir mit einem etwa 3%-Pensum von unserem CTO Joey Keller sowie ungefähr weiteren 40 Arbeitsstunden von Stefan.

Der externe Audit kostet uns jährlich 5 820 CHF.

Wir rechnen also mit langfristigen jährlichen Folgekosten von ca. 23 401 CHF.

Im Laufe der Zertifizierung hat sich gezeigt, dass wir damit – relativ gesehen – noch günstig liegen. Die Umsetzung der Normvorgaben gelingt uns effizient, weil unsere Strukturen und Prozesse noch schlank und übersichtlich sind und wir auch alle Mitarbeiter rasch ins Boot holen können.

In einem grösseren Unternehmen müssten wir mit einem überproportional höheren Umstrukturierungsaufwand und damit auch mit deutlich höheren Kosten rechnen.

Dennoch bilden die Zertifizierungskosten für uns als kleines Startup eine nicht unerhebliche Summe. Gemessen an unserem letzten Jahresumsatz von 279 004 CHF sind die Zertifizierungskosten von 30 934 CHF ein stolzer Betrag. Es wird sich zeigen, ob sich die Investition auszahlt.

Ein erstes Fazit

Bisher sind die Zertifizierungen für ISO 27 001 und 9 001 für uns ein Erfolg. Wir haben die Bestätigung erhalten, dass wir ein zuverlässiges und zukunftsfähiges Unternehmen führen, und wir haben ein solides System für laufende Verbesserungen in den Bereichen Informationssicherheit und Qualitätsmanagement eingerichtet.

Der Zertifizierungsprozess war für uns dank der professionellen Begleitung angenehm und zielgerichtet. Die Normen selbst sind unserer Meinung nach sinnvoll angelegt und generieren keinen administrativen Leerlauf, sondern setzen wirksame Prozesse in Gang.

Wenn wir die genannten Herausforderungen meistern, werden sich die Zertifizierungen auch langfristig lohnen. Ob wir das schaffen, wird sich zeigen. Deshalb ist das Fazit an dieser Stelle ein vorläufiges. Wir werden weiter berichten.


Friendly in deinem Postfach? Abonniere unseren Newsletter.