Erfahrungen mit ISIS12 und ISO 27001 bei Enterbrain

INHALT

• ISIS12 – Einstieg in die Informationssicherheit
• Upgrade auf ISO 27001
• Ausblick
• Bei der DQS in guten Händen

Das seit Jahren expandierende Unternehmen ENTERBRAIN, Spezialanbieter für Fundraising-Software, baut seine Leistungen kontinuierlich aus. So entstand zum Beispiel ein zweites Rechenzentrum. Aber auch die Dienstleistungen im Bereich Outsourcing nahmen spürbar zu, was mit einer Aufstockung des Personals einherging. Diese Entwicklung hat ENTERBRAIN dazu bewogen, Überlegungen über ein Informationssicherheits-Managementsystem (ISMS) anzustellen. Ein wesentlicher Antrieb sei laut Vorstand Michael Charbonnier gewesen, „den für die beteiligten Organisationen essentiellen Schutz der persönlichen Spender- und Mitgliederdaten vor Missbrauch oder Diebstahl sicherzustellen“.

ISIS12 – Einstieg in die Informationssicherheit

Nach eingehender Recherche entschied sich das Unternehmen 2013 für das damals noch wenig bekannte, als Einstieg in die Informations- und IT-Sicherheit aber empfehlenswerte Regelwerk ISIS12*. Wesentlich für diese Entscheidung war, mit den zur Verfügung stehenden Mitteln (vor allem mit Blick auf das Personal) die Einführung und Zertifizierung eines ISMS bewältigen zu können. Genau hier bietet ISIS12 mit einer unterstützenden Software und dem Handbuch ein gutes Vorgehensmodell in 12 Schritten, speziell für mittelständische Unternehmen und Kommunen.

* Mit CISIS12® hat das IT-Sicherheitscluster eine Erweiterung der bewährten Methodik ISIS12 entwickelt und veröffentlicht. CISIS12® rückt das Thema Compliance stärker in den Vordergrund und entspricht der Version 3 von ISIS12.

Ab Ende 2013 wurden zunächst die bestehenden Prozesse analysiert. Dabei fiel auf, dass in der Vergangenheit bereits vieles intuitiv richtig gemacht wurde. Für die nächsten Schritte wurde ein externer Berater hinzugezogen. Zum einen sollten die eigenen Ressourcen nicht übermäßig belastet werden, zum anderen wollte man mit Blick auf die Erfüllung der Anforderungen auf der sicheren Seite sein. Die Zertifizierungsaudits durch die DQS erfolgten schließlich im Juli 2015.

Upgrade auf ISO 27001

Im Zuge der jährlichen Überwachungsaudits für ISIS12 brachte der Auditor der DQS Alfons Marx mehrfach das hohe Niveau des Informationssicherheits-Managementsystems zur Sprache. Dabei kam ihm eine Idee: Er schlug vor, statt der im Juli 2018 fälligen Wiederholungsbegutachtung nach ISIS12 eine Zertifizierung nach der internationalen Norm ISO 27001 anzustreben. Sollte sich diese als noch zu hohe Hürde erweisen, „stünde man mit der Option einer regulären Wiederholungsbegutachtung nach ISIS12 dennoch nicht mit leeren Händen da“, wie Charbonnier das damalige Kalkül schildert. Doch das Upgrade auf DIN EN ISO/IEC 27001 war möglich.

Die Zertifizierung fand im Juli 2018 statt – und ENTERBRAIN ist froh, diesen Schritt gegangen zu sein. Als generellen Vorteil sieht Charbonnier besonders die individuelle Passform, die ISO 27001 ermöglicht. Die Struktur von ISIS12 wurde demgegenüber als eher schematisch empfunden. „Die Prozesse sind nun, sozusagen geschmeidig an den Alltag unseres Unternehmens angepasst, und wir können hervorheben, was für uns wichtig ist“, so der ENTERBRAIN-Vorstand.

Ausblick

Als Vorteil von DIN EN ISO/IEC 27001 wird vor allem der gehobene Managementsystemansatz der ISO-Norm gesehen. Dieser Aspekt hat sich vor allem auch mit Blick auf die fortlaufende Verbesserung des Managementsystems als äußerst nützlich erwiesen. Diese sicherzustellen und voranzutreiben, ist ebenso der Anspruch von ENTERBRAIN: „Wir nehmen unsere Kunden mit auf den Weg – denn Informationssicherheit ist in unserer Branche das Fundament für Erfolg und Vertrauen.“

Bei der DQS in guten Händen

Art und Umfang unserer Audits richten sich nach den spezifischen Bedürfnissen unserer Kunden. Die Audits verschaffen einen Überblick über den IT-sicherheitsrelevanten Status quo und bilden die Basis für zielgerichtete Maßnahmen. Unsere Akkreditierungen und Zulassungen für alle maßgebenden Regelwerke stehen weltweit für Kompetenz und Zuverlässigkeit. Ein weites Netzwerk von erfahrenen Auditoren gewährleistet umfassendes Know-how und die Sicherheit, den für Ihr spezielles Anliegen passenden Experten zu bieten.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.