04.08.2020 - Unternehmensmeldung
Wenn der Auditor selbst zertifiziert wird
Consist erhält ISO/IEC-Zertifizierung
Die ISO 27001 ist die international führende Norm für die Bewertung der Sicherheit von Informationen und IT-Umgebungen. Am 15.7.2020 erhielt die Consist Software Solutions GmbH mit der Zertifizierung die Bestätigung ihrer langjährigen Expertise auf diesem Gebiet.
Kiel – Grundvoraussetzung für eine Zertifizierung nach 27001 ist die Einführung eines Informationssicherheits-Management-Systems, kurz ISMS. Die Anforderungen an dessen Umsetzung und Dokumentation gibt die ISO 27001 vor. Wie man diese nicht nur erfüllt, sondern auch zur Optimierung einhergehender Prozesse nutzen kann, darin beraten die ISMS-Auditoren von Consist andere Unternehmen bundesweit. Nun hat sich der IT-Dienstleister aus Kiel die Zeit für die Zertifizierung des eigenen Unternehmens genommen.
Dank des Know-hows des Informationssicherheits-Teams, das die Zertifizierung durch einen der größten Auditoren, der DQS GmbH, begleitete, verlief der gesamte Auditierungsprozess erfreulich schnell vonstatten. Und dies, obwohl Teil 1 des Audits in die bisher weitreichendste Zeit der Corona-Reglementierungen fiel. So war Consist eines der ersten Unternehmen, bei dem ein Audit vollständig remote durchgeführt wurde. Für die DQS als Zertifizierer bedeutete es im Vorfeld einen nicht unerheblichen Mehraufwand, um eine solche Verfahrensweise von der Deutschen Akkreditierungsstelle (DAkkS) genehmigt zu bekommen.
Hätte der gesamtwirtschaftliche Lock-Down länger angehalten, wäre man bei Consist auch für das abschließende zweite Audit auf virtuellem Wege gerüstet gewesen. Dies konnte dann doch vor Ort erfolgen.
Im gesamten Prozess war sicher hilfreich, dass das Consist-Team durch sein Know-how wusste, worauf es bei der Umsetzung der ISO 27001 ankommt und selbst ISMS-Projekte begleitet. Denn diese ISO-Norm ist sehr generisch beschrieben und gibt eher Hinweise grundsätzlicher Art, wie beispielsweise „die Organisationsleitung muss ihre Organisation verstehen“. Einige Unternehmen nutzen daher eine ISO-27001-Zertifizierung auf Basis des IT-Grundschutzes, um dezidierte Vorgaben für die anzuwendenden Einzelmaßnahmen zu erhalten. Eine solche Granularität entlang des BSI-Grundschutzkataloges war im Falle eines Spezialisten wie Consist zwar nicht nötig, ist unter Umständen aber für andere größere Unternehmen auch dann sinnvoll, wenn sie erst einmal eine detaillierte Übersicht erhalten wollen zum Status Quo des aktuellen Umsetzungsstands.