ISO 27001-Zertifizierung für die SySS

Seit dem 6. Dezember 2019 ist die SySS GmbH zertifiziert nach ISO/IEC 27001:2013, dasselbe gilt für ihre Niederlassungen in Frankfurt am Main und München. Im Informationssicherheitsmanagement der SySS und entsprechend auch bei der Zertifizierung wurden alle Geschäftsbereiche berücksichtigt und keine Controls bzw. Anforderungen ausgelassen. Auf dem Zertifikat lesen sich die Geltungsbereiche daher wie folgt: „Penetrationstests, Digitale Forensik, Red Teaming, Live-Hacking und Schulungen zum Thema IT-Sicherheit“.

Durchgeführt wurde die Zertifizierung gemäß TIC-Verfahren zur Auditierung und Zertifizierung vom TÜV Thüringen.

Was ist die ISO 27001 und welche Anforderungen stellt sie?

Die ISO 27001 ist eine internationale Norm für Informationssicherheit in Unternehmen, Organisationen und Institutionen. Sie definiert Anforderungen und Zielsetzungen, sog. „ISO Controls“, für die Planung und Implementierung sowie für den Betrieb und die Optimierung eines dokumentierten Informationssicherheits-Managementsystems (ISMS). Die ISO 27001 hilft, Risiken in Sachen Informationssicherheit durch die Festlegung geeigneter Sicherheitsmechanismen zu analysieren und zu bewältigen. Das oberste Ziel dieses Prozessrahmens besteht darin, die Integrität und Vertraulichkeit betrieblicher Daten zu schützen sowie die Verfügbarkeit der beteiligten IT-Systeme sicherzustellen. Zu diesem Zweck müssen Zuständigkeiten und Verantwortlichkeiten definiert und etwaige Risiken von den entsprechenden Personen konstant überwacht und evaluiert werden. Mit der Einhaltung der ISO 27001-Norm ist bei all dem Gesetzes- und Regularienkonformität gewährleistet.

Wie ist die Zertifizierung bei der SySS durchgeführt worden?

Als IT-Sicherheitsdienstleister stellt die SySS GmbH schon immer hohe Ansprüche an die Sicherheit ihrer eigenen Systeme sowie die Ausbildung und Awareness der Mitarbeiterinnen und Mitarbeiter. Umfangreiche Maßnahmen zur Risikobewertung und -behandlung sind sämtlichen Kolleginnen und Kollegen bekannt. Auch Incident Response, Krisenmanagement und die kontinuierliche Verbesserung der eigenen Prozesse und Systeme werden bei der SySS schon lange gelebt. Aber klar ist auch: Betriebsblindheit kann es überall geben. Um noch mehr Sicherheit für die Firma selbst und ihre Kunden zu schaffen, hat die SySS sich zu einer Zertifizierung ihres Informationssicherheitsmanagements entschieden.

Zunächst haben Geschäfts- und Bereichsleitung die Geltungsbereiche der Zertifizierung definiert – und dabei keine Ausnahmen zugelassen. Denn die SySS lebt Informationssicherheit überall: in allen Geschäftsbereichen und sämtlichen Niederlassungen.

Im nächsten Schritt haben die Verantwortlichen rund um Sebastian Schreiber die Assets, Prozesse und Anforderungen evaluiert, Risikobewertungen vorgenommen und die bisherige Praxis und Dokumentation berücksichtigt. Für festgestellte Risiken wurden Maßnahmen beschlossen und umgesetzt. Anschließend hat das ISO-Team die SySS-Regularien, -Prozesse und -Dokumentationen kritisch geprüft und in einem überarbeiteten Company Handbook intern veröffentlicht. Dieses Handbook ist schließlich in einem internen Audit gesichtet und bewertet worden.

Das Audit durch den TÜV Thüringen erfolgte in zwei Stufen im Oktober und November 2019 und schloss neben einer eingehenden Prüfung aller IT-sicherheitsrelevanten Prozesse und Dokumentationen auch Mitarbeiter-Interviews ein. In seinem Prüfbericht hielt der TÜV fest, dass die SySS nachweislich die erforderliche Erfüllungsquote an Anforderungen und Maßnahmen erreicht hat und vom 6. Dezember 2019 an berechtigt ist, das Zertifikat nach ISO 27001 unter der Voraussetzung eines jährlichen Überwachungsaudits zu führen.

Was weist die SySS mit der ISO 27001-Zertifizierung genau nach?

Mit der Zertifizierung nach ISO 27001 erbringt die SySS den dokumentierten Nachweis, dass alle notwendigen Anforderungen der Informationssicherheit eingehalten werden und die Maßnahmen zum Schutz von Daten umgesetzt sind. Bei der SySS ist ein ausgefeiltes Informationssicherheits-Managementsystem genauso selbstverständlich gelebte Praxis wie ständig optimierte IT-Sicherheitsprozesse. Risikominimierung ist oberstes Gebot, wie detailliert ausgearbeitete Notfallpläne und regelmäßige interne Schulungen und Überprüfungen zeigen. Informationssicherheit und diesbezügliche permanente Eigenkontrolle haben oberste Priorität und gehören über alle Hierarchieebenen hinweg zur Unternehmenskultur der SySS. Unsere Kunden können uns vertrauen – schon immer und jetzt auch TÜV-zertifiziert.