19.07.2017

Unternehmensweite ISO 27001:2013 Zertifizierung durch TÜV SÜD

Im Mai 2017 bestätigte ein Auditor des TÜV SÜD in einem intensiven viertägigen Vor-Ort-Audit der matrix technology AG die Konformität mit dem ISO 27001:2013-Standard für alle Standorte und Unternehmensbereiche.
ISO 27001 Zertifiziertes Informationssicherheits-Managementsystem Prüfzeichen

Hohe Sicherheitsstandards auch für den Mittelstand

Informationssicherheit ist für viele Unternehmen mittlerweile ein zentrales Thema bei der Auslagerung von IT-Betriebsleistungen. Die matrix technology AG als IT-Dienstleister für große DAX-Unternehmen und anspruchsvolle mittelständische Kunden hat diesen Trend früh erkannt und bereits im Jahr 2011 ein Informationssicherheitsmanagementsystem (ISMS) nach dem international anerkannten ISO-27001-Standard für ihren Bereich Großkundenbetrieb etabliert und vom TÜV SÜD zertifizieren lassen. In den letzten Jahren wurden die Sicherheitsprozesse und -standards laufend verbessert und sukzessive auf das ganze Unternehmen übertragen.

Ausgelöst durch aktuelle Kundenanforderungen entschied die Unternehmensleitung Ende 2016, die ISO 27001-Zertifizierung für alle Standorte der matrix anzustreben und ein entsprechendes Projekt aufzusetzen. Im Mai 2017 waren schließlich alle Voraussetzungen erfüllt und der Auditor des TÜV SÜD konnte in einem intensiven viertägigen Vor-Ort-Audit der matrix die Konformität mit dem ISO 27001:2013-Standard für alle Standorte und Unternehmensbereiche bestätigen.

Inhalte der ISO 27001-Zertifizierung

Der ISO 27001-Standard zur Einführung und dem Betrieb eines Informationsmanagementsystems umfasst neben einer unternehmensweiten Sicherheitspolicy, geregelten Organisationsstrukturen, Prozessen und Richtlinien vor allem eine umfassende Betrachtung, Bewertung und Behandlung von Sicherheitsrisiken sowie spezielle Prozesse zum Umgang mit Sicherheitsvorfällen. Des Weiteren wird geprüft, ob das Unternehmen angemessene und wirksame Maßnahmen zur Gewährleistung der Informationssicherheit u.a. in den folgenden Kontroll-Bereichen etabliert hat:

  • Sicherheit des Personals
  • Asset Management
  • Zugriffskontrolle
  • Kryptographie
  • Schutz vor physischem Zugang und Umwelteinflüssen (räumliche Sicherheit)
  • Betriebssicherheit (Betriebsprozesse)
  • Sicherheit in der Kommunikation (Netzwerksicherheit)
  • Anschaffung, Entwicklung und Instandhaltung von Systemen
  • Lieferantenbeziehungen
  • Business Continuity Management
  • Richtlinienkonformität

Sicherheit wird in der matrix großgeschrieben

Neben den klassischen Sicherheitsschutzzielen Vertraulichkeit, Verfügbarkeit und Integrität legt die matrix in ihrem ISMS auch großen Wert auf ein hohes Sicherheitsbewusstsein der eigenen Mitarbeiter. Als Systemadministratoren für die anvertrauten Kundensysteme haben die Mitarbeiter oft weitreichende Rechte und Einblickmöglichkeiten in Kundeninformationen, so dass ein verantwortungsvoller Umgang mit diesen Rechten sowie die frühzeitige Erkennung und Weitermeldung potentieller Sicherheitsschwachstellen essentielle Pfeiler des matrix-Sicherheitsmanagements sind.

Ausgehend von diesen Schutzzielen leiten sich detailliertere Richtlinien, Prozesse, Anweisungen und vielfältige technische Maßnahmen ab, um die Zielerreichung sicherzustellen, regelmäßig zu überprüfen und laufend zu verbessern. Die Unternehmensleitung ist über regelmäßige Risiko- und Sicherheitsberichte eng eingebunden und unterstützt das Thema „Informationssicherheit“ aktiv durch entsprechende Kommunikation und Ressourcenbereitstellung.

Umsetzung der Anforderungen in kürzester Zeit

Bei der aktuellen Erweiterung des ISMS ergaben sich größere Herausforderungen insbesondere für den neu zertifizierten Bereich „Outsourcing-Services“, in dem die matrix mittelständischen Kunden umfassende IT-Betriebsleistungen nach eigenen ITIL-basierten Prozessen und Betriebsstandards anbietet. So wurden zahlreiche neue Sicherheitsstandards und -richtlinien entwickelt, die auf Best Practices aus dem Großkunden-Umfeld basieren. Durch das große Engagement der im Projekt beteiligten Mitarbeiter, konnten zahlreichen Richtlinien und Sicherheitsmaßnahmen kurzfristig umgesetzt werden. Mit hausinternen Sicherheitsschulungen für alle Mitarbeiter, internen Audits der Fach- und Betriebsteams durch die Sicherheitsbeauftragten sowie dem jährlichen Management Review für das ISMS wurden bis Anfang Mai 2017 alle Voraussetzungen für das viertägige externe Audit durch den TÜV SÜD geschaffen, das am 22.04.17 erfolgreich abgeschlossen werden konnte.

Mit matrix gut beraten

Durch die unternehmensweite ISO 27001-Zertifizierung stärkt die matrix ihre Positionierung als kompetenter, leistungsstarker und sicherheitsbewusster IT-Beratungs- und Betriebspartner. In Zeiten zunehmender Bedrohungen für IT-Systeme profitieren so vor allem mittelständige Kunden von den bewährten Prozessen und hohen Qualitäts- und Sicherheitsstandards, die die matrix-Kunden aus dem DAX-Bereich von ihrem IT-Dienstleister im Bereich Informationssicherheit fordern.