ISO 27001 bei Filoo

TÜV-zertifizierte IT-Sicherheit

Filoo ist vom TÜV Rheinland zum vierten Mal in Folge ISO27001-zertifiziert worden. Auf dieser Themenseite erfahren Sie, was das für Sie als Kunde bedeutet, wie ein Audit abläuft und welche umfangreichen Schritte und Maßnahmen bei Filoo notwendig sind, um die Zertifizierung zu erreichen. 

ISO 27001 - was ist das?

ISO 27001 ist der internationale Standard für das Management von Informationssicherheit. In diesem Standard werden umfangreiche Maßnahmen, Richtlinien und Bedingungen für das Management von IT-Sicherheitsrisiken festgelegt. Die Spannweite dieser Regulierungen reicht vom Bewerbungsprozess neuer Mitarbeitender über die Sicherheit in Büros und Rechenzentren bis hin zum Umgang mit Sicherheitsvorfällen. 

Insgesamt befinden sich im ISO-Standard 114 verschiedene Anforderungen ("Controls"), die für einen erfolgreichen Audit alle beachtet werden müssen! 

Ein Unternehmen, das seine IT-Sicherheit ISO 27001-konform ausrichten will, muss also alle diese Aspekte in irgendeiner Weise "auf dem Schirm" haben. Das geht natürlich nicht mit ein paar mündlichen Arbeitsanweisungen und einer Firewall - um es mal etwas flapsig auszudrücken. Ein systematischer Ansatz ist notwendig - und dieser Ansatz findet sich in einem Informationssicherheits-Managementsystem (ISMS).

In einem ISMS finden sich alle Prozesse, Workflows, Richtlinien und sonstige Dokumente, mit denen ein Unternehmen seine IT-Sicherheit managed. Beispiele bei der Filoo sind unsere Richtlinie zur Systemadministration oder unser Konzept zum Umgang mit Sicherheitsvorfällen. Ein ISMS kann dabei mit einer speziellen Software aufgebaut werden (wie etwa "Verinice" des dt. Unternehmens SerNet) oder aus einer strukturierten Dokumentenablage bestehen. Der ISO-Standard macht jedoch auch hier Vorgaben.

 

Der Weg zur ISO27001-Zertifizierung

Der erste Schritt auf dem Weg zur ISO 27001-Zertifizierung ist der Aufbau des ISMS. Wir bei Filoo haben uns dafür entschieden, anstatt eines toolgestützten ISMS eine Dokumentenlandschaft auf Basis von Nextcloud zu entwerfen. Wichtige Elemente einer solchen Dokumentenlandschaft sind die Nachvollziehbarkeit der Dokumente und des Änderungsprozesses.

Dann haben wir - unterstützt durch externe Consultants und unsere Kollegen bei der Muttergesellschaft Adacor - für jedes Kapitel aus ISO27001 die notwendigen Dokumente entworfen und anhand der Gegebenheiten bei Filoo dokumentiert. Wichtig war uns hier ein pragmatischer Ansatz: Wir wollten auf keinen Fall die Arbeit für die Admins und Techniker durch künstliche Sicherheitsrichtlinien erschweren, sondern wo immer möglich die Richtlinien entlang der bereits gelebten Abläufe modellieren.

Nachdem unser ISMS inhaltlich vollständig war, gab es noch einige Schritte, die zu erledigen waren.

Alle Mitarbeiter, die mit dem ISMS arbeiten müssen und von ihm beeinflusst werden (im Fachjahrgon nennt man das "im Scope sein"), brauchten eine Schulung zum ISMS, zu den enthaltenen Dokumenten und wo sie welche Verfahrens- oder Verhaltensanweisung finden können. Zudem haben wir alle Mitarbeiter in den Grundlagen von ISO27001 geschult, um das Verständnis für den Standard und seine Umsetzung zu schärfen.

Wir haben zudem eine Überprüfung aller Dokumente durchgeführt, um die "Zertifizierungsreife" festzustellen. Diese Überprüfung wurde durch einen Dienstleister vorgenommen.

Als wir sicher waren, die Zertifizierung erreichen zu können, ging es an den wichtigsten Schritt - den Audit. 

Ablauf eines ISO27001-Audits

Unser ISO 27001-Audit wurde in unseren Geschäftsräumen in Gütersloh sowie in unseren Rechenzentrums-Räumen in Frankfurt durchgeführt. Da unsere Organisation recht klein ist, kam ein einzelner Auditor für vier Tage zu uns, um den Audit durchzuführen - bei größeren Unternehmen sind es meist mehrere Auditoren.

Während des Audits ging der Auditor mit unserem CISO und ISMS-Beauftragten Dr. Kunz und seinem Team alle Elemente des Standards nacheinander durch, um festzustellen, ob

  • eine adäquate Dokumentation für jedes Dokument vorhanden ist,
  • die Dokumentation allen Mitarbeitern bekannt ist (Awareness) und
  • wir auch in der Realität so handeln, wie wir es in der Dokumentation beschreiben.

 

Während dieser Überprüfung mußten also viele Nachweise, Dokumente und Workflows gewälzt werden, um die Wirksamkeit und Effizienz des ISMS zu beweisen. Das bedeutete für uns: 24 Stunden lang Rede und Antwort stehen, stets das passende Dokument griffbereit haben und auch mal in die Diskussion mit dem Auditor gehen.

Zusätzlich zum Audit der Dokumente und Nachweise hat der Auditor unsere Büros und das Rechenzentrum in Frankfurt überprüft. Während in den Büros Themen wie "Clean Desk" wichtig waren, ging es im Rechenzentrum hauptsächlich um die Sicherheit der Server vor Unbefugten und um die Ausfallsicherheit. Auch diesen Audit haben wir mit Bravour gemeistert.

Nach dem Abschlußgespräch erhielten wir vom Auditor Hinweise zur Verbesserung, die wir im folgenden Jahr umsetzen werden, und nach wenigen Tagen erreichte uns die Nachricht: Filoo ist wieder ISO27001-zertifiziert. 

Was bedeutet das für unsere Kunden?

Als unser Kunde oder Partner fragen Sie sich sicher, welchen Nutzen Sie aus Filoos ISO 27001-Zertifizierung ziehen können. Die Antwort auf diese Frage ist einfach.

Sie erhalten den unabhängigen Nachweis, dass Filoo im Bereich IT-Sicherheit alle Standards einhält.

Das hilft Ihnen bei Ihren eigenen Compliance-Anforderungen, etwa durch Wirtschaftsprüfer oder im Rahmen eines eigenen Zertifizierungsverfahrens. Und natürlich verschafft es Ihnen auch die Gewißheit, dass Ihr digitales Geschäftsmodell mit Filoo den richtigen Partner hat.

 

In einigen Branchen ist eine IT-Sicherheits-Zertifizierung übrigens bereits Pflicht, so etwa für alle Betreiber kritischer Infrastrukturen (KRITIS), für Unternehmen mit Kreditkartenzahlungen (PCI-DSS) und für Betreiber öffentlicher Mailserver (Sicherheitskonzept nach TKG). Die ISO27001-Zertifizierung bei Filoo kann ein wichtiger Baustein für Sie sein, um Ihr Geschäft in diesen regulierten Branchen auf- oder auszubauen.

Aktuelles ISO27001-Zertifikat herunterladen

Unser aktuelles ISO27001-Zertifikat ist von 2022 bis 2024 gültig. Sie können es über den untenstehenden Link im PDF-Format herunterladen und für Ihre eigene Dokumentation abspeichern.

Sollten Sie weitere Informationen oder Unterlagen benötigen, wenden Sie sich gern an uns (siehe Kontaktdaten am Ende dieser Seite). 

 

Haben Sie Fragen zu ISO27001 und Compliance?

Ich helfe Ihnen gerne weiter. Bei Fragen oder zur Besprechung eines konkreten Projektes bin ich für Sie da: Telelefon +49 5241 86730-0

Christopher Kunz, Geschäftsführer & CISO

Termin buchen e-mail