etrex goes ISO 27001:2022

Unser Ziel: Informationssicherheit stärken

Informationssicherheit ist ein zentrales Anliegen von etrex. Im Rahmen unserer ISO 27001-Zertifizierung haben wir das Thema intensiv beleuchtet und für uns neue Sicherheitsstandards gesetzt. Neben technischen und organisatorischen Massnahmen standen vor allem unsere internen Prozesse auf dem Prüfstand. In diesem Beitrag erklären wir, was mit der ISO 27001-Zertifizierung gemeint ist und wie wir vorgegangen sind.

ISO 27001:2022 – Die Norm für Informationssicherheit

Beim Standard ISO 27001:2022 handelt es sich um eine internationale Norm, welche die Informationssicherheit in Organisationen gewährleistet. Sie hält die Anforderungen für das Erstellen, Betreiben und Optimieren eines Informationssicherheits-Managementsystems (ISMS) fest. Die Norm ist in unterschiedlichsten Bereichen anwendbar, bspw.:

  • bei der Formulierung von Zielsetzungen zur Informationssicherheit 
  • bei der Definition von Informationssicherheits-Managementprozessen  
  • beim effektiven Management von Sicherheitsrisiken 
  • zur Sicherstellung der Konformität von Gesetzen und Regularien 
  • bei der Überprüfung von Richtlinien und Standards, intern wie extern 

 

Unser Ziel: Informationssicherheit stärken

Der zentrale Ausgangspunkt auf dem Weg zur Zertifizierung war die risikobasierte Ausarbeitung eines Informationssicherheitsmanagementsystems (ISMS). Dies erforderte technische und organisatorische Massnahmen wie die Identifikation und Einordnung von Risiken (Risikomanagement), eine umfassende Analyse und Dokumentation aller internen Abläufe, die Ausarbeitung von Informationssicherheits-Managementprozessen und -richtlinien sowie interne Schulungen und Sensibilisierung.

Die drei zentralen Aspekte

Drei Aspekte waren dabei entscheidend für die erfolgreiche Zertifizierung: 

  • Dokumentation und Inventur

    Alle Prozesse, welche nicht bereits ausreichend dokumentiert waren, mussten ausgearbeitet und akribisch festgehalten werden. Zusätzlich wurde eine Inventur aller betroffenen Assets erstellt, darunter fallen z. B. unsere Hardware und Lizenzen.

  • Akzeptanz und Unterstützung des Managements

    Das Management als Riskowner stellt eine wichtige Anspruchsgruppe dar. Ein ISMS kann nur erfolgreich sein, wenn es von der Geschäftsführung nicht nur unterstützt, sondern auch aktiv gelebt und kommuniziert wird. Diese Akzeptanz ist zentral, um eine Sicherheitskultur im Unternehmen zu etablieren und zu fördern.

  • Adaptieren der ISO-Norm an unsere Prozesse

    Es galt zu Ermitteln, wie und in welchen Bereichen wir die Anforderungen der ISO 27001-Norm mit unseren bestehenden Prozessen abstimmen können. Dies erforderte eine genaue Formulierung der Zielsetzungen.

Die Zertifizierung

Nach Monaten der Transformation dürfen wir offiziell sagen: UNSER ISMS IST ISO 27001:2022-ZERTIFIZIERT. Somit erfüllen wir nicht nur die Anforderungen der internationalen Norm für Informationssicherheit, sondern konnten all unsere Bemühungen im Bereich Informationssicherheit auch entsprechend belohnen.

Kontinuierliche Verbesserung 

Ganz wichtig für uns: der Prozess ist mit der Zertifizierung nicht beendet, es ist vielmehr der Startschuss für eine kontinuierliche Überprüfung und Besserung des ISMS.

Geschrieben im August 2024

Mathias Didier

Weitere Insights

Was uns auch noch bewegt.

Caesar Voelkin · August 2022

Wir leben unsere Werte nicht nur, wir trinken sie

José Rosado · Juni 2023

Der spanischste Teamausflug aller Zeiten