Kurz vor Jahresende 2020 - trotz der durch die Corona-Pandemie erschwerten Bedingungen - hat die nicos AG erfolgreich die ISO 27001 Zertifizierung für ihr Informationssicherheits-Managementsystem (ISMS) absolviert. Dahinter steht ein Team von Kollegen das sich eigens für diese Aufgabe gebildet hat

ISO 27001 Zertifizierung in Teamarbeit

Kurz vor Jahresende 2020 – trotz der durch die Corona-Pandemie erschwerten Bedingungen – hat die nicos AG erfolgreich die ISO 27001 Zertifizierung für ihr Informationssicherheits-Managementsystem (ISMS) absolviert. Dahinter steht ein Team von Kollegen das sich eigens für diese Aufgabe gebildet hat. Was waren die Beweggründe der nicos AG, die ISO 27001 Zertifizierung zu absolvieren und wie sind wir dabei vorgegangen?

Über die ISO 27001 Zertifizierung

Das ISO/IEC 27001 Zertifikat beurkundet den hohen Stellenwert, den Informationssicherheit bei der nicos AG einnimmt.

Die nicos AG erbringt Dienstleistungen im Sicherheitsbereich. Die Zertifizierung beurkundet die Wichtigkeit von Informationsinformationssicherheit bei der nicos AG.​ Mit der Einführung eines Informationssicherheits-Managementsystem (ISMS) und der ISO 27001 Zertifizierung erfüllen wir sowohl die Anforderungen ​unserer Kunden als auch die Erfordernisse, die sich aus ​unserem Wachstum und damit steigenden Mitarbeiterzahlen der nicos AG ergeben. ​

Das ISO27001 gilt als Standardzertifizierung am Markt, die ein Dienstleister heute erfüllen muss. Die Arbeit nach einheitlichen hohen Qualitätsstandards fördert nachhaltig unsere Effizienz und sorgt für Sicherheit in den Prozessen zu unseren Kunden.​

Scope und Anwendungsbereich des ISMS der nicos AG

Das ISO 27001 Zertifikat beurkundet die Einführung des ISMS mit dem Geltungsbereich: Bereitstellung und Überwachung von Managed Services zur sicheren Datenkommunikation und geschützten Kollaboration zwischen weltweiten Unternehmensstandorten.

ISMS als Werkzeug zur Erhöhung der Informationssicherheit

Ziel der Einführung des ISMS bei der nicos AG ist es, dieses als integralen Bestandteil unseres Unternehmens aufzusetzen, der das Thema Informationssicherheit als ganzheitlichen Ansatz aufgreift und kontinuierlich optimiert.

„Das ISMS dient der nicos AG als Werkzeug zur Erhöhung der Informationssicherheit und fokussiert die kontinuierliche Verbesserung und Erhöhung des von uns definierten Sicherheitsschutzniveaus,“ erklärt Michael Braun, Head of Infrastructure Solutions und Information Security Officer bei der nicos AG. „Innerhalb des ISMS sind Regeln, Verfahren, Maßnahmen und Tools definiert, mit denen sich die Informationssicherheit steuern, kontrollieren, sicherstellen und optimieren lässt. Risiken sollen aufgedeckt, identifizierbar und beherrschbar werden. Als Managed Services Provider und Spezialist für sichere, globale Datenkommunikation ist es uns wichtig, das Thema in der gesamten Organisation und allen Prozessen zu verankern.“

Wie sind wir beim Aufbau des ISMS vorgegangen?

Der Aufbau und die Einführung des ISMS gliedert sich in viele Einzelschritte und umfasst ein breites Aufgabenportfolio.

„Allem voran haben wir zunächst den Rahmen für das ISMS festgelegt und die Parameter definiert,“ erklärt Michael Braun das Vorgehen. „Dazu haben wir vorab eine Stakeholder-Analyse durchgeführt. Daraufhin haben wir in einem weiteren Schritt unsere Leitlinie zur Informationssicherheit auf den Prüfstein gestellt und entsprechende Anpassungen vorgenommen. Zudem haben wir weitere Richtlinien zur Erreichung des vorgegebenen Sicherheitsniveaus geprüft und normgerecht angepasst. Darüber hinaus haben wir Schutzbedarfsanalysen durchgeführt. Spezifische und sicherheitsoptimierende Anforderungen haben wir im engen Dialog mit diversen Mitarbeiten aus den jeweiligen Bereichen ermitteln und klären können.“

Des weiteren standen Awareness-Maßnahmen zur Sensibilisierung der Mitarbeiter auf unserer Agenda, um dem Anspruch, das Thema ISMS in der gesamten Organisation und in allen Prozessen zu verankern, gerecht zu werden.

ISMS-Einführung auf einen Blick

Maßnahmen und Schritte zum Aufbau des ISMS

  • Durchführung einer Stakeholder-Analyse zur Identifizierung der Rahmenparameter für unser ISMS
  • Erstellung einer Leitlinie zur Informationssicherheit
  • Aktualisierung und Erstellung von Richtlinien zur Erreichung des von uns vorgegebenen Sicherheitsniveaus
    • Merkmale eines sicheren Passwortes, Umgang mit Passwörtern
    • Umgang mit (externen) Datenträgern, mobilen Devices und Cloud-Speicherdiensten
    • Umgang mit Dokumenten und deren Vernichtung
    • Umgang mit E-Mails, Spam, Social Engineering
    • Clear Desk Policy
    • etc.
  • Etablierung einer zentralen Governance-, Risiko- und Compliance-Lösung (GRC) zur pragmatischen Steuerung der ISMS-Aktivitäten
  • Durchführung von Schutzbedarfsanalysen
  • Vorbereitung und Durchführung von Awareness Maßnahmen zur Sensibilisierung der Mitarbeiter
  • Planung und Durchführung regelmäßiger Audits zur Wirksamkeitsüberprüfung und Identifizierung unbekannter Schwachstellen und Bedrohungen
  • Durchführung eines externen Audits, um die internationale Zertifizierung nach der Norm ISO/IEC 27001 zu erreichen

Erfolgreiche ISO 27001 Zertifizierung ist Teamarbeit

Trotz der durch die Corona-Pandemie erschwerten Bedingungen hat sich nicos AG im Frühjahr 2020 entschlossen, ein ISMS einzuführen.

„Der Aufbau des ISMS erfolgte in Teamarbeit. Zudem haben wir uns externe Unterstützung durch einen auf diesem Gebiet erfahrenen Consultant geholt,“ berichtet Michael Braun. „Mit der GreenSocks Consulting GmbH haben wir einen TOP Consultant gefunden, der uns kompetent und pragmatisch auf dem Weg zur ISO 27001 Zertifizierung begleitet hat.“

Das nicos ISMS-Team hat sich eigens für diese Aufgabe gebildet. Es setzt sich zusammen aus Mitarbeitern der Kernsegmente der nicos Serviceorganisation sowie Kollegen aus den Bereichen Datenschutz und Cyber Defense.

„Den einzelnen Teammitgliedern haben wir dabei spezielle Rollen mit entsprechenden Aufgaben zugewiesen,“ so Michael Braun. „Diese umfassen beispielsweise die Definition von Richtlinien, die Durchführung von Risikoanalysen, die Steuerung von Security Incidents sowie die Durchführung von Audits. Entscheidend sind zudem eventuell erforderliche korrigierende Schritte sowie die Koordination und Steuerung aller zur Zielerreichung erforderlichen Maßnahmen. Neben der Planung und Vorbereitung der jeweiligen Aufgaben ist auch die Dokumentation der einzelnen Maßnahmen wichtig.“

Rollen im ISMS

Der CISO koordiniert alle zur Erreichung der Unternehmensziele erforderlichen Maßnahmen im Bereich Informationssicherheit und kontrolliert die ordnungsgemäße Umsetzung. 

Der Risk Manager ist als Teil des Informationssicherheits-Managementteams (ISMT) verantwortlich für die operative Umsetzung aller Risikoanalysen. 

Der IS Incident Manager koordiniert erforderliche Maßnahmen zur Erreichung der Unternehmensziele im Bereich Informationssicherheit und kontrolliert die ordnungsgemäße Umsetzung. 

Der ISO Security Controls ist zentral für die Sicherstellung und Umsetzung der im Anhang A genannten Security Controls der ISO27001 Norm verantwortlich. Im Fokus stehen dabei die regelmäßigen Sichtungen der bestehenden Richtlinien und deren Weiterentwicklung.

Der Co-Auditor ist Hauptverantwortlicher Auditor zur Durchführung interner Audits bei der nicos AG.

Der Improvement Manager koordiniert erforderliche und korrigierende Maßnahmen zur Erreichung der Unternehmensziele im Bereich Informationssicherheit und kontrolliert die ordnungsgemäße Umsetzung.

Fazit:

Michael Braun reflektiert rückblickend: „Durch diese Vorgehensweise – Aufbau des ISMS und die Absolvierung der ISO 27001 Zertifizierung als Projekt in Teamarbeit und in Zusammenarbeit mit einem kompetenten Consultant als Partner – konnten wir gewährleisten, dass wir unsere Unternehmensziele erreichen und alle Aufgaben zur Einführung eines ISMS optimal erfüllen.“

Nutzen und Vorteile des ISMS und der ISO 27001 Zertifizierung

Nicht nur das eigene Unternehmen, auch unsere Kunden profitieren von unserer ISO 27001 Zertifizierung:

Das ISO 27001 Zertifikat für das nicos Informationsmanagement-System beurkundet den hohen Stellenwert der Informationssicherheit im Unternehmen. Es belegt, wie wichtig der nicos AG – als Partner des Kunden – der Schutz von Informationen und Kundendaten ist.

Die nicos optimiert ihre Informationssicherheits-Prozesse kontinuierlich, passt sie Veränderungen an und stärkt damit ihre Widerstandskraft z.B. gegenüber Cyber-Angriffen und Bedrohungen aus dem Internet.

Das ISMS gewährleistet die Kontinuität der nicos AG als Dienstleister.

Kundeneigene Audits können durch die ISO 27001 Zertifizierung der nicos AG beschleunigt werden.

Mehr erfahren über die nicos AG: Zur nicos Story!