Start in die ISO 27001 Zertifizierung

von Arnulf Koch⠀|⠀
veröffentlicht am 22.08.2023

Erfahren Sie, warum die K&K Software AG den Weg zur ISO 27001 Zertifizierung einschlägt und wie wir diese Entscheidung mit den Prinzipien des agilen Manifests vereinen. Außerdem zeigen wir Ihnen unseren Fahrplan für die angestrebte ISO 27001 Zertifizierung. Begleiten Sie K&K bei dieser Reise zum ISO 27001 zertifizierten Unternehmen und bleiben Sie auf dem Laufenden über unsere Fortschritte und Erkenntnisse.

Wir bei K&K Software AG starten in die ISO 27001 Zertifizierung!

Warum machen wir das? Und warum machen wir als agiles Unternehmen das?

Wie lässt sich das mit dem agilen Manifest vereinbaren?

 

Das Agile Manifest

Wir erschließen bessere Wege, Software zu entwickeln,
indem wir es selbst tun und anderen dabei helfen.
Durch diese Tätigkeit haben wir diese Werte zu schätzen gelernt:

Individuen und Interaktionen mehr als Prozesse und Werkzeuge
Funktionierende Software mehr als umfassende Dokumentation
Zusammenarbeit mit dem Kunden mehr als Vertragsverhandlung
Reagieren auf Veränderung mehr als das Befolgen eines Plans

Das heißt, obwohl wir die Werte auf der rechten Seite wichtig finden,
schätzen wir die Werte auf der linken Seite höher ein.

Quelle: https://agilemanifesto.org/iso/de/manifesto.html 

Bei der ISO-27001-Zertifizierung geht es um Prozesse, Richtlinien, Dokumentationen, Zeitpläne, Umsetzungspläne, alles Begriffe, die beim agilen Manifest auf der rechten Seite stehen und für die man doch bessere Lösungsansätze implementiert hat!?

Das ist richtig. Allerdings ist die Basis unseres Geschäftsmodells und die Basis der digitalen Unternehmen und digitalen Gesellschaft die IT-Sicherheit.
Ohne die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit funktioniert die Digitalisierung nicht. Und genau das sind die Ziele, die auch in der ISO 27001 beschrieben werden und um die sich das ganze Regelwerk dreht.
Weitere Informationen zur ISO 27001 Zertifizierung:

– Wikipedia: https://de.wikipedia.org/wiki/ISO/IEC_27001 

– TÜV Süd: https://www.tuvsud.com/de-de/dienstleistungen/auditierung-und-zertifizierung/cyber-security-zertifizierung/iso-27001

Wir sind der Überzeugung, dass wir diese Schutzziele sehr ernst nehmen. Vieles davon ist bereits in unserer Philosophie verankert: Wir setzen vermehrt auf Open Source, weil wir dort die Sicherheit für besser bewerten. Wir haben hohe Qualitätsstandards in jeder Projektumsetzung, z.B. getrennte Server für Entwicklungs-, Test- und Produktivsysteme. Wir setzen eher auf RAID-6 (2-fache Redundanz) statt RAID-5 (1-fache Redundanz). Unsere VPN-Zugänge arbeiten mit Zertifikaten statt mit Passwörtern. Ich könnte endlos weiter aufzählen.
Nur: behaupten kann man natürlich viel. Bei einer ISO 27001-Zertifizierung muss nachvollziehbar nachgewiesen werden, dass man sich strukturiert und konsequent um IT-Sicherheit kümmert.

Daher möchten wir unseren Kunden nicht nur das Versprechen geben, dass wir intensiv an unserer und Ihrer IT-Sicherheit arbeiten, sondern es auch durch den Zertifizierungsprozess belegen.

Als kleines und agiles Unternehmen ist es für uns eine enorme Umstellung, jetzt in so festen Strukturen zu denken und zu arbeiten. Aber es hilft uns auch, ein größeres Unternehmen zu werden.

Aktueller Status

aktualisiert am: 20.09.2024

Wie läuft der Prozess ab und wo stehen wir?

 

1. Wir haben die Entscheidung getroffen, uns nach der ISO 27001 zertifizieren zu lassen. erledigt am 23.03.2023
2. Wir haben begonnen, Gespräche mit entsprechenden Dienstleistern zu führen, die uns bei der ISO-Einführung beraten und unterstützen. erledigt am 13.04.2023
3. Wir haben begonnen, verschiedene ISMS – Informationssicherheitsmanagementsystem, was für ein Wort! – zu evaluieren (u.a. Verinice, Isoplanner, ordnerstrukturbasierte Systeme, …). erledigt am 09.05.2023
4. Wir haben einen Dienstleister ausgewählt. Die Wahl fiel auf die TEN Information Management GmbH (www.ten-im.com). erledigt am 25.05.2023
5. Wir haben uns für ein ISMS entschieden. Es ist der ISOPlanner geworden (https://isoplanner.app/). erledigt am 25.05.2023
6. Wir haben unser ISMS installiert. erledigt am 22.06.2023
7. Wir hatten unseren ersten Enlightenment-Workshop mit unserem Dienstleister. erledigt am 08.08.2023
8. Rollen und Rollenzuweisung, Politik, Ziele erledigt am 01.09.2023 
9. Erarbeiten und Formulieren von Richtlinien erledigt am 17.09.2023
10. Aufbau Risikomatrix und Durchführung Risikoanalyse
Rollenverantwortliche bauen Dokumentenstruktur auf
aktuell in Arbeit

Nächste Schritte

Die folgenden Schritte können wir noch nicht genau überblicken, da wir jede Woche mehr über die Welt der ISO-Zertifizierungen lernen. Wir werden diesen Blogpost erweitern, sobald wir weitere Erkenntnisse haben. Nach heutigem Wissensstand sind jedoch diese die nächsten Schritte zur erfolgreichen ISO 27001-Zertifizierung der K&K Software AG.

 

11. Internes Audit und Gap-Analyse für Q3 2024 geplant
12. Erarbeitung und Umsetzung von Maßnahmen um den Ziel-Zustand
zu erreichen.
für Q3 2024 geplant
13. Zertifizierungsaudit nach ISO 27001 für Q1 2025 geplant
14. Jährliche Überwachungsaudits für 2026 und 2027 geplant
15. Rezertifizierung nach 3 Jahren für 2028 geplant

Wir aktualisieren den Blogpost, sobald es Neuigkeiten gibt.

Ein Beitrag von: Arnulf Koch

Arnulf Koch ist Gründer und Vorstand der K&K Software AG. Seit über 24 Jahren leitet er ein engagiertes Team von inzwischen 30 Expert:innen, die auf die Digitalisierung von Geschäftsprozessen in mittelständischen Unternehmen, der Industrie sowie in öffentlichen Einrichtungen spezialisiert sind. Als Verfechter von Open Source Lösungen setzt seine Firma auf ERPNext, ein revolutionäres, lizenzkostenfreies ERP-System. Darüber hinaus bietet die K&K Software AG maßgeschneiderte Softwareentwicklungen in C#/.NET und spezialisierte IT-Security-Lösungen. Arnulf engagiert sich in zahlreichen Ehrenämtern, darunter als Mitglied der IHK Vollversammlung und im Stadtrat von Gerolzhofen. Seine Expertise und Leidenschaft für IT teilt er regelmäßig auf sozialen Medien unter @ArnulfKoch

Beitrag teilen