Die AWARE7 GmbH ist ab sofort ISO 27001 zertifiziert und konnte somit erfolgreich das mehrstufige Audit-Verfahren erfolgreich absolvieren. Damit reagieren wir auf die steigenden Anforderungen unserer Kunden aus den Produkt- und Dienstleistungssegmenten zur Durchführung von Penetrationstests, Phishing Simulationen sowie Live Hackings.
Zertifizierte Informationssicherheit nach ISO 27001 – ein wirklicher Pluspunkt?
Bei der Einführung eines ISMS ist eines immer wieder aufgefallen: Informationssicherheit ist mehr als eine Nextgen-Firewal, EDR und Virenschutz. Es dreht sich viel um die Arbeit miteinander, dem Lebenszyklus von Informationen, Daten und Dokumenten sowie das Schaffen von Bewusstsein in Bezug auf Notfälle, Risiken und Wiederherstellung.
Wir für unseren Kontext können festhalten, dass die ISO 27001 Zertifizierung als Denkanstoß hergehalten hat und dafür gesorgt hat, dass das Thema Informationssicherheit in jedem Produkt, Prozess und jeder Dienstleistung berücksichtigt wird. Es ist also nicht nur für uns ein Pluspunkt, sondern auch für jeden, der sich entscheidet mit uns zusammenzuarbeiten. Im Geltungsbereich der Zertifizierung befinden sich daher
Alle wertschöpfenden Produkte, Prozesse und die dazugehörigen Mitarbeiter, Assets und Räumlichkeiten.
Somit ist jeder Penetrationstest, jedes Live Hacking, E-Learning und jede Phishing Simulation im Informationssicherheits-Managementsystem enthalten. Das gilt nicht nur für zukünftige, sondern auch für bereits laufende Projekte und veröffentlichte Produkte.
ISMS aufbauen – so haben wir es gemacht!
Für eine erfolgreiche ISO 27001 Zertifizierung ist entscheidend, dass die Organisation versteht, dass das Thema Informationssicherheit kein einmaliges Projekt ist. Wir drehen uns im wahrsten Sinne im Kreis und durchlaufen fortlaufend den PDCA-Zyklus. Doch die Werkzeuge und das Vorgehen muss zur Organisation passen.
Unser Werkzeug!
Am Ende ist Microsoft Word und Excel nur ein Werkzeug. Ein Werkzeug, mit dem wir nicht arbeiten wollten. Wir haben uns für einen agilen Ansatz entschieden. Ein großer Teil der Protokollierung, der Behandlung von Vorfällen und der Mitigierung von Risiken findet in moderner Art und Weise statt. Die Dokumentation wird in Form einer modernen Wiki-Umgebung festgehalten. Anforderungen an die Versionierung sowie der Verlinkung von Dokumenten findet stark automatisiert statt. Alle Dokumente, Bereiche und Zugänge zu Projekten und Prozessen sind strikt nach dem Need-to-Know Prinzip aufgebaut.
Unser Vorgehen bei der Umsetzung!
Die Umsetzung, Formulierung und Etablierung von Leit- und Richtlinien, welche durch die ISO 27001 gefordert und von der 27002 empfohlen werden, haben wir in Eigenregie umgesetzt. Die Benennung des Informationssicherheitsbeauftragten und des stellvertretenden ISBs war, aufgrund der vorhandenen Kompetenz bei Mitarbeiter:innen, zügig durchgeführt. Lediglich bei den Pflichtaspekten zur Durchführung des internen Audits und des Zertifizierungsaudits haben wir auf externe Ressourcen zurückgegriffen.
Wir unterstützen Organisationen bei der Einführung eines ISMS nach ISO 27001
Nicht jede Organisation kann auf eine zweistellige Anzahl an Experten aus dem Bereich der Informationssicherheit zurückgreifen. Aus diesem Grund beraten wir seit mehreren Monaten Organisationen beim Aufbau eines ISMS – stets hersteller- und produktunabhängig.
