Start in die ISO 27001 Zertifizierung

von Arnulf Koch⠀|⠀
zuletzt aktualisiert am 11.09.2024⠀|⠀veröffentlicht am 22.08.2023

Erfahren Sie, warum die K&K Software AG den Weg zur ISO 27001 Zertifizierung einschlägt und wie wir diese Entscheidung mit den Prinzipien des agilen Manifests vereinen. Außerdem zeigen wir Ihnen unseren Fahrplan für die angestrebte ISO 27001 Zertifizierung. Begleiten Sie K&K bei dieser Reise zum ISO 27001 zertifizierten Unternehmen und bleiben Sie auf dem Laufenden über unsere Fortschritte und Erkenntnisse.

Wir bei K&K Software AG starten in die ISO 27001 Zertifizierung!

Warum machen wir das? Und warum machen wir als agiles Unternehmen das?

Wie lässt sich das mit dem agilen Manifest vereinbaren?

 

Das Agile Manifest

Wir erschließen bessere Wege, Software zu entwickeln,
indem wir es selbst tun und anderen dabei helfen.
Durch diese Tätigkeit haben wir diese Werte zu schätzen gelernt:

Individuen und Interaktionen mehr als Prozesse und Werkzeuge
Funktionierende Software mehr als umfassende Dokumentation
Zusammenarbeit mit dem Kunden mehr als Vertragsverhandlung
Reagieren auf Veränderung mehr als das Befolgen eines Plans

Das heißt, obwohl wir die Werte auf der rechten Seite wichtig finden,
schätzen wir die Werte auf der linken Seite höher ein.

Quelle: https://agilemanifesto.org/iso/de/manifesto.html 

Bei der ISO-27001-Zertifizierung geht es um Prozesse, Richtlinien, Dokumentationen, Zeitpläne, Umsetzungspläne, alles Begriffe, die beim agilen Manifest auf der rechten Seite stehen und für die man doch bessere Lösungsansätze implementiert hat!?

Das ist richtig. Allerdings ist die Basis unseres Geschäftsmodells und die Basis der digitalen Unternehmen und digitalen Gesellschaft die IT-Sicherheit.
Ohne die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit funktioniert die Digitalisierung nicht. Und genau das sind die Ziele, die auch in der ISO 27001 beschrieben werden und um die sich das ganze Regelwerk dreht.
Weitere Informationen zur ISO 27001 Zertifizierung:

– Wikipedia: https://de.wikipedia.org/wiki/ISO/IEC_27001 

– TÜV Süd: https://www.tuvsud.com/de-de/dienstleistungen/auditierung-und-zertifizierung/cyber-security-zertifizierung/iso-27001

Wir sind der Überzeugung, dass wir diese Schutzziele sehr ernst nehmen. Vieles davon ist bereits in unserer Philosophie verankert: Wir setzen vermehrt auf Open Source, weil wir dort die Sicherheit für besser bewerten. Wir haben hohe Qualitätsstandards in jeder Projektumsetzung, z.B. getrennte Server für Entwicklungs-, Test- und Produktivsysteme. Wir setzen eher auf RAID-6 (2-fache Redundanz) statt RAID-5 (1-fache Redundanz). Unsere VPN-Zugänge arbeiten mit Zertifikaten statt mit Passwörtern. Ich könnte endlos weiter aufzählen.
Nur: behaupten kann man natürlich viel. Bei einer ISO 27001-Zertifizierung muss nachvollziehbar nachgewiesen werden, dass man sich strukturiert und konsequent um IT-Sicherheit kümmert.

Daher möchten wir unseren Kunden nicht nur das Versprechen geben, dass wir intensiv an unserer und Ihrer IT-Sicherheit arbeiten, sondern es auch durch den Zertifizierungsprozess belegen.

Als kleines und agiles Unternehmen ist es für uns eine enorme Umstellung, jetzt in so festen Strukturen zu denken und zu arbeiten. Aber es hilft uns auch, ein größeres Unternehmen zu werden.

Aktueller Status

aktualisiert am: 18.12.2023

Wie läuft der Prozess ab und wo stehen wir?

1. Wir haben die Entscheidung getroffen, uns nach der ISO 27001 zertifizieren zu lassen. erledigt am 23.03.2023
2. Wir haben begonnen, Gespräche mit entsprechenden Dienstleistern zu führen, die uns bei der ISO-Einführung beraten und unterstützen. erledigt am 13.04.2023
3. Wir haben begonnen, verschiedene ISMS – Informationssicherheitsmanagementsystem, was für ein Wort! – zu evaluieren (u.a. Verinice, Isoplanner, ordnerstrukturbasierte Systeme, …). erledigt am 09.05.2023
4. Wir haben einen Dienstleister ausgewählt. Die Wahl fiel auf die TEN Information Management GmbH (www.ten-im.com). erledigt am 25.05.2023
5. Wir haben uns für ein ISMS entschieden. Es ist der ISOPlanner geworden (https://isoplanner.app/). erledigt am 25.05.2023
6. Wir haben unser ISMS installiert. erledigt am 22.06.2023
7. Wir hatten unseren ersten Enlightenment-Workshop mit unserem Dienstleister. erledigt am 08.08.2023
8. Rollen und Rollenzuweisung, Politik, Ziele erledigt am 01.09.2023 
9. Erarbeiten und Formulieren von Richtlinien erledigt am 17.09.2023
10. Aufbau Risikomatrix und Durchführung Risikoanalyse
Rollenverantwortliche bauen Dokumentenstruktur auf
aktuell in Arbeit
Screenshot der Startseite von ERPNext.
Ein zentriertes Bild mit Bildunterschrift. (Quelle: Blabla / ggfs. Link zur Lizenz)

Ein Textblock der dann drunter umfließt. Lorem ipsum dolor sit amet, consectetur adipisici elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat. Quis aute iure reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint obcaecat cupiditat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Ein Textblock mit einem Quote rechts; kann mit normalen Textblöcken kombiniert werden. Lorem ipsum dolor sit amet, consectetur adipisici elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat.

Ein Ausschnitt aus dem Text links zum hervorheben; größer je länger der Absatz.

Ein Ausschnitt aus dem Text
zum hervorheben; dieses Mal
sogar umfließend!

Lorem ipsum dolor sit amet, consectetur adipisici elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat. Quis aute iure reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint obcaecat cupiditat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Lorem ipsum dolor sit amet, consectetur adipisici elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat. Quis aute iure reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint obcaecat cupiditat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Das ist eine Zwischenüberschrift

Wichtig für diese Art des umfließens ist die richtige Textlänge. Ein Textblock der dann drunter umfließt. Lorem ipsum dolor sit amet, consectetur adipisici elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat. Quis aute iure reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint obcaecat cupiditat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Das ist eine Zwischenüberschrift

Unterschrift (Bildquelle / ggfs. Link zur Lizenz)

Eine andere Form des ein Bild umfließenden Texts, die auch funktioniert! Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat. Quis aute iure reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint obcaecat cupiditat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

 Lorem ipsum dolor sit amet, consectetur adipisici elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat. Quis aute iure reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint obcaecat cupiditat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Lorem ipsum dolor sit amet, consectetur adipisici elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat. Quis aute iure reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint obcaecat cupiditat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

 

Das ist eine Infobox. Lorem ipsum dolor sit amet, consectetur adipisici elit, sed eiusmod tempor incidunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquid ex ea commodi consequat. Quis aute iure reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint obcaecat cupiditat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Ein Beitrag von: Arnulf Koch

Arnulf Koch ist Gründer und Vorstand der K&K Software AG. Seit über 24 Jahren leitet er ein engagiertes Team von inzwischen 30 Expert:innen, die auf die Digitalisierung von Geschäftsprozessen in mittelständischen Unternehmen, der Industrie sowie in öffentlichen Einrichtungen spezialisiert sind. Als Verfechter von Open Source Lösungen setzt seine Firma auf ERPNext, ein revolutionäres, lizenzkostenfreies ERP-System. Darüber hinaus bietet die K&K Software AG maßgeschneiderte Softwareentwicklungen in C#/.NET und spezialisierte IT-Security-Lösungen. Arnulf engagiert sich in zahlreichen Ehrenämtern, darunter als Mitglied der IHK Vollversammlung und im Stadtrat von Gerolzhofen. Seine Expertise und Leidenschaft für IT teilt er regelmäßig auf sozialen Medien unter @ArnulfKoch

Beitrag teilen