Vier Jahre ISO/IEC 27001: Der erste Rezertifizierungsaudit vom TÜV Saarland hat die Wirksamkeit des Informationssicherheits-Managementsystems (ISMS) von Futura Solutions weiterhin ohne Abweichungen bestätigt. Es bildet die strukturelle Basis zum Schutz von vertraulichen Daten, für die Sicherstellung ihrer Integrität sowie zur Verbesserung der Verfügbarkeit von Informationen. Das neue ISO-Zertifikat ist bis November 2021 gültig.
Der Untersuchungsgegenstand umfasste das Gesamtunternehmen einschließlich der Organisation. Darin enthalten sind alle Anwendungen und Prozesse, die für die Entwicklung und den Betrieb der Cloud-Lösung erforderlich ist. Die mehrtägigen Vor-Ort-Prüfungen, bei denen verschiedene Verfahrens- und Arbeitsanweisungen auf praktische Anwendung auditiert und damit verprobt wurden, sowie Einzelbefragungen haben bestätigt, dass die Anforderungen der ISO/IEC 27001:2013-Zertifizierung ohne Abweichungen erfüllt sind. Damit wird das Zertifikat mit einer Gültigkeitsdauer bis zum Jahr 2021 erneuert.
IT-Sicherheit als gelebter Wert
Das ISMS wird von der Geschäftsführung nachhaltig unterstützt und verantwortet. „Mit dieser Zertifizierung belegen wir, dass unsere Organisation und die Prozessabläufe – ob in der Konzeption, Entwicklung, Qualitätssicherung und Betrieb unserer Standardsoftware – einem systematischen Risikomanagement unterliegen. Als IT-Dienstleister tragen wir für das Thema Informationssicherheit eine große Verantwortung“, erklärt Geschäftsführer Hartmut Schwadtke (links im Bild). Systematische Risikoanalysen, die alle Bereiche des Unternehmens einbeziehen, erfolgen im Rahmen des Business Continuity Managements auf Basis eines vorstrukturierten Business Impacts sowie einer Risikoanalyse. Erkannte Risiken werden nach einer vorgegebenen Methode bewertet und anschließend im Rahmen der Risikobehandlung bearbeitet und daraus entsprechende Vorsorgemaßnahmen definiert. „Hervorzuheben ist das außergewöhnliche Commitment der Geschäftsführung, und das nicht nur in Bezug auf Umfang und Häufigkeit der Abstimmungsmeetings mit dem IT-Sicherheitsbeauftragten. Herr Schwadtke hat die gesamte Auditzeit persönlich begleitet“, bestätigt Holger Bohne, zuständiger Hauptauditor. „IT-Sicherheit ist ein gelebter Wert und hier wird viel mehr geleistet, als die Norm vorgibt.“
Transparenz und Struktur
Zentrales Steuerungsorgan ist der IT-Arbeitskreis, der vom IT-Sicherheitsbeauftragten Ingo Krischker geleitet wird. „Für unsere internen Audits folgen wir einem jährlichen Auditprogramm. Werden Feststellungen aus Audits getroffen und abgeleitete Maßnahmen vorgenommen, folgt eine sogenannte Managementbewertung und Nachverfolgung im Rahmen eines kontinuierlichen Verbesserungsprozesses“, erklärt Ingo Krischker, verantwortlich für die Vorbereitung des Rezertifizierungsaudits (rechts im Bild).
Neben den jährlichen Überwachungsaudits steht im Turnus von drei Jahren jeweils ein umfängliches Audit zur Rezertifizierung ISO/IEC 27001:2013 an.
Der Untersuchungsgegenstand umfasste das Gesamtunternehmen einschließlich der Organisation. Darin enthalten sind alle Anwendungen und Prozesse, die für die Entwicklung und den Betrieb der Cloud-Lösung erforderlich ist. Die mehrtägigen Vor-Ort-Prüfungen, bei denen verschiedene Verfahrens- und Arbeitsanweisungen auf praktische Anwendung auditiert und damit verprobt wurden, sowie Einzelbefragungen haben bestätigt, dass die Anforderungen der ISO/IEC 27001:2013-Zertifizierung ohne Abweichungen erfüllt sind. Damit wird das Zertifikat mit einer Gültigkeitsdauer bis zum Jahr 2021 erneuert.
IT-Sicherheit als gelebter Wert
Das ISMS wird von der Geschäftsführung nachhaltig unterstützt und verantwortet. „Mit dieser Zertifizierung belegen wir, dass unsere Organisation und die Prozessabläufe – ob in der Konzeption, Entwicklung, Qualitätssicherung und Betrieb unserer Standardsoftware – einem systematischen Risikomanagement unterliegen. Als IT-Dienstleister tragen wir für das Thema Informationssicherheit eine große Verantwortung“, erklärt Geschäftsführer Hartmut Schwadtke (links im Bild). Systematische Risikoanalysen, die alle Bereiche des Unternehmens einbeziehen, erfolgen im Rahmen des Business Continuity Managements auf Basis eines vorstrukturierten Business Impacts sowie einer Risikoanalyse. Erkannte Risiken werden nach einer vorgegebenen Methode bewertet und anschließend im Rahmen der Risikobehandlung bearbeitet und daraus entsprechende Vorsorgemaßnahmen definiert. „Hervorzuheben ist das außergewöhnliche Commitment der Geschäftsführung, und das nicht nur in Bezug auf Umfang und Häufigkeit der Abstimmungsmeetings mit dem IT-Sicherheitsbeauftragten. Herr Schwadtke hat die gesamte Auditzeit persönlich begleitet“, bestätigt Holger Bohne, zuständiger Hauptauditor. „IT-Sicherheit ist ein gelebter Wert und hier wird viel mehr geleistet, als die Norm vorgibt.“
Transparenz und Struktur
Zentrales Steuerungsorgan ist der IT-Arbeitskreis, der vom IT-Sicherheitsbeauftragten Ingo Krischker geleitet wird. „Für unsere internen Audits folgen wir einem jährlichen Auditprogramm. Werden Feststellungen aus Audits getroffen und abgeleitete Maßnahmen vorgenommen, folgt eine sogenannte Managementbewertung und Nachverfolgung im Rahmen eines kontinuierlichen Verbesserungsprozesses“, erklärt Ingo Krischker, verantwortlich für die Vorbereitung des Rezertifizierungsaudits (rechts im Bild).
Neben den jährlichen Überwachungsaudits steht im Turnus von drei Jahren jeweils ein umfängliches Audit zur Rezertifizierung ISO/IEC 27001:2013 an.
