Erfahren Sie, warum die K&K Software AG den Weg zur ISO 27001 Zertifizierung einschlägt und wie wir diese Entscheidung mit den Prinzipien des agilen Manifests vereinen. Außerdem zeigen wir Ihnen unseren Fahrplan für die angestrebte ISO 27001 Zertifizierung. Begleiten Sie K&K bei dieser Reise zum ISO 27001 zertifizierten Unternehmen und bleiben Sie auf dem Laufenden über unsere Fortschritte und Erkenntnisse.
Wir bei K&K Software AG starten in die ISO 27001 Zertifizierung!
Warum machen wir das? Und warum machen wir als agiles Unternehmen das?
Wie lässt sich das mit dem agilen Manifest vereinbaren?
Das Agile Manifest
Wir erschließen bessere Wege, Software zu entwickeln,
indem wir es selbst tun und anderen dabei helfen.
Durch diese Tätigkeit haben wir diese Werte zu schätzen gelernt:
Individuen und Interaktionen mehr als Prozesse und Werkzeuge
Funktionierende Software mehr als umfassende Dokumentation
Zusammenarbeit mit dem Kunden mehr als Vertragsverhandlung
Reagieren auf Veränderung mehr als das Befolgen eines Plans
Das heißt, obwohl wir die Werte auf der rechten Seite wichtig finden,
schätzen wir die Werte auf der linken Seite höher ein.
Quelle: https://agilemanifesto.org/iso/de/manifesto.html
Bei der ISO-27001-Zertifizierung geht es um Prozesse, Richtlinien, Dokumentationen, Zeitpläne, Umsetzungspläne, alles Begriffe, die beim agilen Manifest auf der rechten Seite stehen und für die man doch bessere Lösungsansätze implementiert hat!?
Das ist richtig. Allerdings ist die Basis unseres Geschäftsmodells und die Basis der digitalen Unternehmen und digitalen Gesellschaft die IT-Sicherheit.
Ohne die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit funktioniert die Digitalisierung nicht. Und genau das sind die Ziele, die auch in der ISO 27001 beschrieben werden und um die sich das ganze Regelwerk dreht.
Weitere Informationen zur ISO 27001 Zertifizierung:
– Wikipedia: https://de.wikipedia.org/wiki/ISO/IEC_27001
Wir sind der Überzeugung, dass wir diese Schutzziele sehr ernst nehmen. Vieles davon ist bereits in unserer Philosophie verankert: Wir setzen vermehrt auf Open Source, weil wir dort die Sicherheit für besser bewerten. Wir haben hohe Qualitätsstandards in jeder Projektumsetzung, z.B. getrennte Server für Entwicklungs-, Test- und Produktivsysteme. Wir setzen eher auf RAID-6 (2-fache Redundanz) statt RAID-5 (1-fache Redundanz). Unsere VPN-Zugänge arbeiten mit Zertifikaten statt mit Passwörtern. Ich könnte endlos weiter aufzählen.
Nur: behaupten kann man natürlich viel. Bei einer ISO 27001-Zertifizierung muss nachvollziehbar nachgewiesen werden, dass man sich strukturiert und konsequent um IT-Sicherheit kümmert.
Daher möchten wir unseren Kunden nicht nur das Versprechen geben, dass wir intensiv an unserer und Ihrer IT-Sicherheit arbeiten, sondern es auch durch den Zertifizierungsprozess belegen.
Als kleines und agiles Unternehmen ist es für uns eine enorme Umstellung, jetzt in so festen Strukturen zu denken und zu arbeiten. Aber es hilft uns auch, ein größeres Unternehmen zu werden.
Aktueller Status
aktualisiert am: 20.09.2024
Wie läuft der Prozess ab und wo stehen wir?
1. | Wir haben die Entscheidung getroffen, uns nach der ISO 27001 zertifizieren zu lassen. | erledigt am 23.03.2023 |
2. | Wir haben begonnen, Gespräche mit entsprechenden Dienstleistern zu führen, die uns bei der ISO-Einführung beraten und unterstützen. | erledigt am 13.04.2023 |
3. | Wir haben begonnen, verschiedene ISMS – Informationssicherheitsmanagementsystem, was für ein Wort! – zu evaluieren (u.a. Verinice, Isoplanner, ordnerstrukturbasierte Systeme, …). | erledigt am 09.05.2023 |
4. | Wir haben einen Dienstleister ausgewählt. Die Wahl fiel auf die TEN Information Management GmbH (www.ten-im.com). | erledigt am 25.05.2023 |
5. | Wir haben uns für ein ISMS entschieden. Es ist der ISOPlanner geworden (https://isoplanner.app/). | erledigt am 25.05.2023 |
6. | Wir haben unser ISMS installiert. | erledigt am 22.06.2023 |
7. | Wir hatten unseren ersten Enlightenment-Workshop mit unserem Dienstleister. | erledigt am 08.08.2023 |
8. | Rollen und Rollenzuweisung, Politik, Ziele | erledigt am 01.09.2023 |
9. | Erarbeiten und Formulieren von Richtlinien | erledigt am 17.09.2023 |
10. | Aufbau Risikomatrix und Durchführung Risikoanalyse Rollenverantwortliche bauen Dokumentenstruktur auf |
aktuell in Arbeit |
Nächste Schritte
Die folgenden Schritte können wir noch nicht genau überblicken, da wir jede Woche mehr über die Welt der ISO-Zertifizierungen lernen. Wir werden diesen Blogpost erweitern, sobald wir weitere Erkenntnisse haben. Nach heutigem Wissensstand sind jedoch diese die nächsten Schritte zur erfolgreichen ISO 27001-Zertifizierung der K&K Software AG.
11. | Internes Audit und Gap-Analyse | für Q3 2024 geplant |
12. | Erarbeitung und Umsetzung von Maßnahmen um den Ziel-Zustand zu erreichen. |
für Q3 2024 geplant |
13. | Zertifizierungsaudit nach ISO 27001 | für Q1 2025 geplant |
14. | Jährliche Überwachungsaudits | für 2026 und 2027 geplant |
15. | Rezertifizierung nach 3 Jahren | für 2028 geplant |
Wir aktualisieren den Blogpost, sobald es Neuigkeiten gibt.