Über den Sinn einer ISO 27001-Zertifizierung und den Weg dorthin, habe ich am Beispiel der von mir als externer CISO betreuten Firma SUNZINET bereits 2023 berichtet (LINK).
Im Mai 2025 haben wir bei SUNZINET nun das nächste Re-Zertifizierungsaudit für ISO 27001, 27701, 287017 und 27018 sowie die ISO 9000 mit Bravour bestanden.
Nicht zuletzt hatte daran das IMS/ISMS-System von Byght einen großen Anteil, welches wir seit Einführung der ISO-Normen konsequent einsetzen. Natürlich wird das eine oder andere rund um solche Normen und Verwaltungssysteme von manchen Mitarbeitern als lästig empfunden. Aber der Erfolg gibt uns recht. Kontinuierliche Verbesserung wird messbar und Schwachstellen werden aufgedeckt, bevor sie möglicherweise von Angreifern ausgenutzt werden oder zu einem Qualitätsproblem werden.
Viele Geschäftsprozesse wurden dank konsequenter Dokumentation transparenter und neue Mitarbeiter können sich wesentlich schneller zurechtfinden, anstatt sie persönlich durch jeden einzelnen Prozessschritt coachen zu müssen.
Zudem macht es durchaus Sinn, mögliche Fragen und Probleme vorwegzunehmen und Handreichungen und grundsätzliche Leitlinien in Form von Richtlinien, Policies und Geschäftsprozessen zu verschriftlichen. Das hilft bei der Reflexion durch diejenigen, die die Prozesse definieren und im Fall der Fälle für eine schnelle und konsequente Hilfestellung für Mitarbeiter und Kunden.
Übrigens: Firmen und Institutionen, die wir im Rahmen eines Security-Incidents (Verschlüsselung und/oder Datenabfluss) betreuen bzw. von denen wir Anfragen zur Rettung erhalten, haben solche Systeme meist nicht. Ob da ein Zusammenhang besteht?
To be continued…
SHARE