Sidebar

Start in die ISO 27001 Zertifizierung

Erfahren Sie, warum die K&K Software AG den Weg zur ISO 27001 Zertifizierung einschlägt und wie wir diese Entscheidung mit den Prinzipien des agilen Manifests vereinen. Außerdem zeigen wir Ihnen unseren Fahrplan für die angestrebte ISO 27001 Zertifizierung. Begleiten Sie K&K bei dieser Reise zum ISO 27001 zertifizierten Unternehmen und bleiben Sie auf dem Laufenden über unsere Fortschritte und Erkenntnisse.

bilder/ISO_27001_klein.jpg

Wir bei K&K Software AG starten in

die ISO 27001 Zertifizierung!


Warum machen wir das? Und warum machen wir als agiles Unternehmen das?

Wie lässt sich das mit dem agilen Manifest vereinbaren?

 

Das Agile Manifest

Wir erschließen bessere Wege, Software zu entwickeln,
indem wir es selbst tun und anderen dabei helfen.
Durch diese Tätigkeit haben wir diese Werte zu schätzen gelernt:

Individuen und Interaktionen mehr als Prozesse und Werkzeuge
Funktionierende Software mehr als umfassende Dokumentation
Zusammenarbeit mit dem Kunden mehr als Vertragsverhandlung
Reagieren auf Veränderung mehr als das Befolgen eines Plans

Das heißt, obwohl wir die Werte auf der rechten Seite wichtig finden,
schätzen wir die Werte auf der linken Seite höher ein.


Quelle: https://agilemanifesto.org/iso/de/manifesto.html 

 

Bei der ISO-27001-Zertifizierung geht es um Prozesse, Richtlinien, Dokumentationen, Zeitpläne, Umsetzungspläne, alles Begriffe, die beim agilen Manifest auf der rechten Seite stehen und für die man doch bessere Lösungsansätze implementiert hat!?

Das ist richtig. Allerdings ist die Basis unseres Geschäftsmodells und die Basis der digitalen Unternehmen und digitalen Gesellschaft die IT-Sicherheit.
Ohne die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit funktioniert die Digitalisierung nicht. Und genau das sind die Ziele, die auch in der ISO 27001 beschrieben werden und um die sich das ganze Regelwerk dreht.
 

Weitere Informationen zur ISO 27001 Zertifizierung:

- Wikipedia: https://de.wikipedia.org/wiki/ISO/IEC_27001 

- TÜV Süd: https://www.tuvsud.com/de-de/dienstleistungen/auditierung-und-zertifizierung/cyber-security-zertifizierung/iso-27001
 


 

Wir sind der Überzeugung, dass wir diese Schutzziele sehr ernst nehmen. Vieles davon ist bereits in unserer Philosophie verankert: Wir setzen vermehrt auf Open Source, weil wir dort die Sicherheit für besser bewerten. Wir haben hohe Qualitätsstandards in jeder Projektumsetzung, z.B. getrennte Server für Entwicklungs-, Test- und Produktivsysteme. Wir setzen eher auf RAID-6 (2-fache Redundanz) statt RAID-5 (1-fache Redundanz). Unsere VPN-Zugänge arbeiten mit Zertifikaten statt mit Passwörtern. Ich könnte endlos weiter aufzählen.
Nur: behaupten kann man natürlich viel. Bei einer ISO 27001-Zertifizierung muss nachvollziehbar nachgewiesen werden, dass man sich strukturiert und konsequent um IT-Sicherheit kümmert.
 

Daher möchten wir unseren Kunden nicht nur das Versprechen geben, dass wir intensiv an unserer und Ihrer IT-Sicherheit arbeiten, sondern es auch durch den Zertifizierungsprozess belegen.

Als kleines und agiles Unternehmen ist es für uns eine enorme Umstellung, jetzt in so festen Strukturen zu denken und zu arbeiten. Aber es hilft uns auch, ein größeres Unternehmen zu werden.

 

Aktueller Status:

aktualisiert am 18.12.2023
 

Wie läuft der Prozess ab und wo stehen wir?

1.  

Wir haben die Entscheidung getroffen, uns nach der ISO 27001 zertifizieren zu lassen.

erledigt am 23.03.2023
     

2.

Wir haben begonnen, Gespräche mit entsprechenden Dienstleistern zu führen, die uns bei der ISO-Einführung beraten und unterstützen.

erledigt am 13.04.2023
     

3.

Wir haben begonnen, verschiedene ISMS - Informationssicherheitsmanagementsystem, was für ein Wort! - zu evaluieren (u.a. Verinice, Isoplanner, ordnerstrukturbasierte Systeme, …). 

erledigt am 09.05.2023
     

4.

Wir haben einen Dienstleister ausgewählt. Die Wahl fiel auf die TEN Information Management GmbH (www.ten-im.com). 

erledigt am 25.05.2023
     
5. Wir haben uns für ein ISMS entschieden. Es ist der ISOPlanner geworden (https://isoplanner.app/). erledigt am 25.05.2023
     
6. Wir haben unser ISMS installiert. erledigt am 22.06.2023
     
7. Wir hatten unseren ersten Enlightenment-Workshop mit unserem Dienstleister. erledigt am 08.08.2023
     
8. Rollen und Rollenzuweisung, Politik, Ziele

erledigt am 01.09.203 
     
9. Erarbeiten und Formulieren von Richtlinien erledigt am 17.09.2023
     
10.

Aufbau Risikomatrix und Durchführung Risikoanalyse
Rollenverantwortliche bauen Dokumentenstruktur auf

 aktuell in Arbeit


 

Nächste Schritte

Die folgenden Schritte können wir noch nicht genau überblicken, da wir jede Woche mehr über die Welt der ISO-Zertifizierungen lernen. Wir werden diesen Blogpost erweitern, sobald wir weitere Erkenntnisse haben. Nach heutigem Wissensstand sind jedoch diese die nächsten Schritte zur erfolgreichen ISO-27001-Zertifizierung der K&K Software AG:
 

11. Internes Audit und Gap-Analyse für Q1 2024 geplant
     
12.

Erarbeitung und Umsetzung von Maßnahmen um den Ziel-Zustand
zu erreichen

 für Q1 2024 geplant
     
13.  Zertifizierungsaudit nach ISO 27001 für Q2 2024 geplant
     
14. Jährliche Überwachungsaudits für 2025 und 2026 geplant
     
15. Rezertifizierung nach 3 Jahren für 2027 geplant

 

 

Wir aktualisieren diesen Blogpost laufend, sobald es Neuigkeiten gibt.

Beitrag vom 22.08.2023

Kommentar abgeben: