Die ISO-Norm 27 001 ist der weltweit wichtigste Standard im Bereich Informationssicherheit. Sie beinhaltet die Einführung eines Informationssicherheits-Managementsystems (ISMS) – ein systematischer Zugang, der Menschen, Prozesse und IT-Systeme umfasst.
Vor kurzem haben wir die Erstzertifizierung gemäss ISO 27 001 : 2022 erfolgreich bestanden. Die Zertifizierung umfasst unser ganzes Unternehmen und gilt daher für alle unsere Produkte.
Inhalt
Was ist der Mehrwert der ISO 27 001?
Die ISO-Zertifizierung bietet uns und unseren Kund:innen mehrere Vorteile:
- Erhöhte Sicherheit: Wir haben ein Informationssicherheits-Managementsystem (ISMS) eingeführt, das internationalen Standards entspricht. Dadurch ist sichergestellt, dass wir über ein funktionsfähiges, robustes, entwicklungsfähiges System zum Schutz der Daten verfügen.
- Compliance: Unsere Kunden erhalten durch unsere ISO-27 001-Zertifizierung einen Nachweis, dass wir die geltenden gesetzlichen Vorschriften bezüglich IT-Sicherheit und Datenschutz kennen und umsetzen. Das unterstützt auch sie in der Einhaltung ihrer rechtlichen Verpflichtungen.
- Ruf und Vertrauen: Die Zertifizierung zeigt, dass wir uns für die Informationssicherheit einsetzen. Und das ist auch vertrauensbildend für die Kunden unserer Kunden.
- Nachhaltige Verbesserung: Die ISO 27 001-Norm erfordert eine kontinuierliche Überwachung und regelmäßige Überprüfung des ISMS, um zu gewährleisten, dass wir auch zukünftig auf dem neuesten Stand der Sicherheitsanforderungen und -technologien bleiben.
Unsere Software wird bereits mehr und mehr von Unternehmen eingesetzt, die grossen Wert auf Informationssicherheit legen, wie Versicherungen, Banken und öffentliche Institutionen.
Bereits letztes Jahr erhielten wir die Labels «swiss made software» und «swiss hosting», die Schweizer Qualität und Datenschutz auszeichnen. Die Zertifizierung für ISO 27 001 bestärkt dieses Versprechen.
Was ist die ISO-Norm 27 001?
Die ISO-Norm 27 001 verfolgt einen risikobasierten und zielorientierten Ansatz: Verbesserungen werden konsequent dort in Angriff genommen, wo tatsächliche und dringende Risiken bestehen oder aktuelle und wesentliche Ziele erreicht werden können.
So wird sichergestellt, dass mit den vorhandenen Ressourcen die wirksamsten Resultate erzielt werden können.
Die Norm verlangt die Einführung eines Informationssicherheits-Managementsystems (ISMS), mit dem Massnahmen in den folgenden Bereichen angegangen werden:
- Compliance mit den geltenden Gesetzen und Vorschriften, bei uns insbesondere das Schweizer nDSG und die europäische DSGVO
- Sicherheit in der Verwendung von Software und Hardware, Code-Reviews, regelmässige Updates, Patches und Backups
- Regelmässige externe Penetration Tests, um Schwachstellen aufzudecken und Sicherheitslücken zu schliessen, bevor sie von Hackern genutzt werden können
- Interne Richtlinien und Policies für die Informationssicherheit, kontinuierlicher Weiterbildung aller Mitarbeitenden und Beratung unserer Kund:innen
- Klares Management von Informationssicherheitsvorfällen mit laufender Evaluation und Verbesserung
- Klassifizierung von Informationen und Gütern nach Vertraulichkeitsstufen (Asset Management) und Ableitung angemessener Schutzmassnahmen
- Schutz der Infrastruktur vor Eindringlingen, Bränden, Wasserschäden und Stromausfällen
- Schutz vor unautorisiertem Zugang zu Daten durch Zugriffsrechte und Zugriffskontrollen, Need-to-Know-Prinzip und kontinuierliches Monitoring von Netzwerken und Systemen
- Einsatz von Verschlüsselung bei der Übermittlung sensibler Informationen, Richtlinien zur sicheren Nutzung von Kommunikationskanälen
- Sicherheit in Lieferanten- und Dienstleistungsbeziehungen durch Audits, Verträge und regelmässige Überprüfung der Lieferanten
- Erstellung und laufende Aktualisierung von Plänen für die System-Aufrechterhaltung oder Wiederherstellung in Notfällen und Krisen (Geschäftskontinuitätsmanagement)
Damit ermöglicht das Managementsystem einen kontinuierlichen Verbesserungsprozess in allen Bereichen der Informationssicherheit.
Was kostet die Zertifizierung für ISO 27 001?
Der finanzielle Aufwand für eine Zertifizierung der ISO-Norm 27 001 kann je nach Grösse, Komplexität und Struktur eines Unternehmens stark variieren.
In unserem Open Startup Report Dezember haben wir bereits kurz die Kosten für unsere Erstzertifizierung bekannt gegeben: 20 820 CHF (inklusive der Zertifizierung für ISO 9 001).
Darin noch nicht eingerechnet sind die Personalkosten, die wir für die Vorbereitung der Zertifizierung aufgewendet haben und die wir weiterhin für die kontinuierliche Umsetzung der Normvorgaben benötigen.
In Kürze werden wir genauer darüber berichten.
PS: Hier findest du eine Übersicht unserer Zertifizierungen und Auszeichnungen.
Friendly in deinem Postfach? Abonniere unseren Newsletter.
