atrify hat erfolgreich die ISO/IEC 27001:2013 abgeschlossen und den Betrieb eines Information Security Management System (kurz: ISMS) auf die atrify angepaßt.
Wir bieten unseren Kunden eine einfache, sichere, verlässliche und problemlose Verwaltung von Produkt Content über unsere cloudbasierte Plattform an. Dies erfordert ein hohes Maß an Qualität und Informationssicherheit in unseren Prozessen, sowie der eingesetzten Technologie.
ISO/IEC 27001:2013
Der international anerkannte Standard für Informationssicherheit.
ISO/IEC 27001:2013 ist der Standard, der die Rahmenbedingungen für einen sicheren Betrieb eines Information Security Management System (kurz: ISMS) vorgibt. Ein Information Security Management System definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen zu gewährleisten. Mit einer ISO-Zertifizierung nach ISO/IEC 27001:2013, können wir unseren Kunden state-of-the-art Informationssicherheit gewährleisten.
Die Zuverlässigkeit der unternehmensbezogenen Informationsverarbeitung ist von strategischer Bedeutung für sichere Geschäftstransaktionen und Grundlage vieler Entscheidungsprozesse. Es ist zwingend erforderlich, die Informationen im Verantwortungsbereich der atrify zu schützen. Hier schützt man generell vor inakzeptabler und unsachgemäßer Nutzung, Missbrauch, Offenlegung, Veränderung, Verlust und Zerstörung und verfolgt das Ziel eine ausreichende Verfügbarkeit der Informationen und der Informationsverarbeitungseinrichtungen wie z.B. der Server sicherzustellen.
Ein sicherer und verantwortungsvoller Umgang mit Daten ist unser Kerngeschäft
Ein sicherer und verantwortungsvoller Umgang mit Daten ist unser Kerngeschäft und die besondere Sensibilität im Umgang mit Informationen bestimmt unser Tagesgeschäft.
Aus diesem Grund hat sich die atrify entschlossen, dieses Vorgehen zertifizieren zu lassen und hat ein Informationssicherheits-Managementsystem (ISMS) gemäß der internationalen Norm ISO/IEC 27001:2013 etabliert.
Unser Weg zum ISMS
Die atrify, ehemals 1WorldSync, hatte bereits mehrere Jahre ein bestehendes ISMS im Einsatz. Im Zuge der Neugründung von atrify hat die Unternehmensführung mich gefragt, ob ich mich der Rolle des Chief Information Security Officers (CISO) annehmen möchte, das ISMS auf die atrify anpasse und vor allem nach der agilen Unternehmensphilosophie ausrichte. Die Informationssicherheit hat mich als Leiter unserer internen IT-Abteilung immer interessiert und ich habe lange Jahre mit meinem Team daran gearbeitet, dass entsprechende ISMS Prozesse exakt eingehalten werden. Mit dem entgegengebrachten Vertrauen ein ISMS “atrify-like” aufzubauen, habe ich die Herausforderung gerne angenommen.
Scope atrify ISMS
Ein Informationssicherheits-Managementsystem, das alle Kundeninformationen unter der Kontrolle oder dem Besitz der atrify GmbH verwaltet und in den atrify-Einrichtungen untergebracht ist. Der Geltungsbereich des ISMS umfasst die Anlagen, Technologien und Prozesse, die die atrify GmbH in ihren europäischen Einrichtungen zur Verarbeitung, Verwaltung und Auslieferung von Produktinhalten an ihre internationalen Kunden einsetzt. Zusätzlich wird der Umfang unter Berücksichtigung des externen und internen Kontextes der Organisation, der Anforderungen interessierter Parteien, wie Kunden und Regulierungsbehörden, und der Grenzen zu Dritten definiert.
Meilensteine ISMS
Bevor es richtig losging, habe ich mich zunächst umfangreich schulen lassen und mir externe Unterstützung gesucht. Wichtig war mir ein Unternehmen zu finden deren Vorstellungen ein ISMS zu betreiben sich möglichst exakt mit unseren deckt. Wir haben eine GAP-Analyse der bestehenden Dokumentation und Prozesse erstellt und darauf basierend die notwendigen Meilensteine bis zu einem zertifizierungsfähigen ISMS erstellt.
- Definition des Kontexts
- Führung im ISMS
- Planung des ISMS
- Unterstützung im ISMS
- Betrieb des ISMS
- Bewertung der Leistung
- Verbesserungen
- Maßnahmenumsetzung bis zur ISO-Zertifizierung
Die Auditierungen
Für die Erstzertifizierung nach ISO/IEC 27001 sind zwei Audit Stufen notwendig. Im Audit Stufe 1 wird überprüft, ob das vorhandene ISMS zertifizierungsfähig ist und man für die Audit Stufe 2 zugelassen wird. Im Audit Stufe 2 wird im Anschluss überprüft, ob die eigenen Richtlinien eingehalten und angewendet werden.
Das Audit Stufe 1 haben wir erfolgreich im Dezember 2019 abschließen können. Unser ISMS wurde grundsätzlich als zertifizierungsfähig anerkannt. Das Audit Stufe 2 wurde Mitte Januar 2020 durchgeführt. Über drei Tage verteilt fanden Interviews mit atrify Mitarbeiterinnen und Mitarbeitern aus unterschiedlichen Abteilungen statt und eine Begehung des Standorts Köln wurde durchgeführt. Als Ergebnis erhielten wir positives Feedback zu unserem ISMS.
Geschafft: atrify ist ISO/IEC 27001:2013 zertifiziert
Im Anschluss wurde die Zertifizierungsempfehlung inklusive aller relevanten Unterlagen an die Deutsche Akkreditierungsstelle (DAkkS) weitergeleitet.
Aus meiner Sicht haben wir das ISMS auf unsere neue Organisation sehr gut angepasst. Wir haben eine sehr sehr gute Grundlage geschaffen, auf der wir nun weiter aufbauen und die wir – im Sinne unserer agilen Ausrichtung – stetig weiter verbessern. Für mich persönlich war das Projekt ein voller Erfolg. Ich bin mir sicher, dass Informationssicherheit bei atrify fortlaufend auf einem der höchsten Standards gelebt werden wird.
Update 2022:
Auch im Jahr 2022 wurden wir ISO/IEC 27001:2013 zertifiziert.
Download für die aktuellen Zertifikate in Deutsch und Englisch.