About Us
Management
Memberships
Junior/Senior Support Specialist
Computer Scientist
Junior Sales Expert
Project Manager
DTP Operator
College Assistant
Application Form
Jobs
News
Distribution List
Press
Reference Overview
Awards
ISO 27001
ISO 27001 Interview
Terms of Use
Privacy Statement
Login
Forgotten Login Data?
Document Center
Legal Aspects
Search our Website
Sitemap
Imprint
Information about this Website
Request
Journey
Contact

DIN ISO/IEC 27001:2015 Certificate for
Knipp Medien und Kommunikation GmbH

Datenschutz und die Sicherheit aller informationsverarbeitenden Prozesse sind wichtige Eckpfeiler der Unternehmensphilosophie von Knipp. Das gilt für sämtliche Geschäftsfelder, in denen Knipp tätig ist: vom Domain-Geschäft über die Softwareentwicklung und den Betrieb des Rechenzentrums bis hin zur Druckverarbeitung. Um die Effektivität der Informationssicherheit nach außen transparent zu machen und insbesondere für Kunden und Partner zu beurkunden, erfolgte nun die Zertifizierung der umfangreichen Sicherheitsmaßnahmen und Prozesse.
Ganz im Sinne dieser Transparenz finden Sie im Folgenden einige Hintergrundinformationen zur ISO 27001-Norm und zum Ablauf der Umsetzung des Informationssicherheitsstandards bei Knipp.

Die Umsetzung der ISO 27001-Norm bei Knipp

In Deutschland kann grundsätzlich zwischen einer Zertifizierung nach ISO 27001 oder gemäß des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik gewählt werden. Die Entscheidung des neu gegründeten, abteilungsübergreifenden Zertifizierungs-Teams bei Knipp fiel zugunsten des ISO 27001-Standards. Ein Grund dafür war unter anderem die Flexibilität der internationalen Norm, die die Umsetzung individueller Sicherheitsmaßnahmen möglich macht.
Der ISO 27001-Standard fordert die Umsetzung und Aufrechterhaltung unternehmensspezifischer Prozesse und Vorgaben zur Wahrung der Informationssicherheit – das sogenannte Information Security Management System (ISMS). Der erste Schritt zu dessen Einführung war die Durchführung einer Bestandsaufnahme: Zur Identifikation der geschäftskritischen Prozesse fanden Interviews mit Vertretern der einzelnen Abteilungen statt. Aufbauend auf der bereits vorhandenen Dokumentation und in enger Abstimmung mit den jeweils zuständigen Mitarbeitern wurden ISO 27001-relevante Vorgaben erarbeitet.
Ein wesentlicher Bestandteil der ISO 27001 ist die Risikoanalyse. Dazu ist es in einer ersten Iteration erforderlich, sämtliche geschäftskritischen Prozesse und die zugehörigen Unternehmenswerte (die sogenannten Assets) zu analysieren. Potenzielle Bedrohungen für Informationswerte müssen identifiziert und die Systeme und Abläufe auf mögliche Schwachstellen geprüft werden. Dies ist ein sehr aufwändiger Prozess, da die betreffenden Unternehmensbereiche bis hinunter auf ein sehr niedriges Absraktionsniveau betrachtet werden müssen. Im Fall von Knipp umso mehr, da die ISO 27001-Zertifizierung nach dem sogenannten Full-Scope-Ansatz erfolgte und sämtliche Dienstleistungen, Infrastrukturen und Prozesse umfasst.
Die so ermittelten Bedrohungen werden bewertet, um dann über das Risikomanagement zu entscheiden. Bei Knipp wird den meisten Risiken direkt begegnet, indem geeignete Maßnahmen zur Reduzierung der Eintrittswahrscheinlichkeit und zur Folgebekämpfung implementiert werden.
Damit ist die Risikoanlyse jedoch nicht abgeschlossen. Assets, Prozesse und die getroffenen Einschätzungen und Maßnahmen müssen ständig hinterfragt und das ISMS permanent an geänderte Rahmenbedingungen angepasst werden. Nur so kann die Aufrechterhaltung der Informationssicherheit gewährleistet werden. Deshalb ist das ISO 27001-Team in regelmäßigen Sitzungen aktiv, um notwendige Schritte zu identifizieren und für deren Umsetzung zu sorgen – auch kurzfristig, falls das erforderlich sein sollte. Neben den internen Prüfungen wird das ISMS natürlich auch regelmäßig durch externe Audits verifiziert.

Sicherheit beginnt in den Köpfen der Mitarbeiter

Alle Kollegen bei Knipp waren während der Erarbeitung der Grundlagen für das ISMS entweder direkt involviert oder wurden entsprechend informiert. In Schulungen mit maximal sechs Personen wurden beispielsweise die Grundprinzipien und die eingesetzten Hilfsmittel für das ISMS vorgestellt und in abteilungsspezifischen Arbeitsgruppen die Umsetzungsdetails festgelegt.
ISO 27001:2015 Logo »Mit der ISO 27001-Zertifizierung haben die Nutzer unserer Dienstleistungen die Versicherung, dass ihre Daten bei Knipp bestens geschützt sind.« (Elmar Knipp)
Das Information Security Management System ist Dreh- und Angelpunkt für den Nachweis eines funktionierenden Sicherheitskonzeptes. Entscheidend dafür, dass es im Unternehmen erfolgreich Anwendung findet, ist jedoch das Sicherheitsbewusstsein der Mitarbeiter. Informationssicherheit und Datenschutz sind seit jeher hohe Werte bei Knipp, die von unseren Mitarbeitern in der Praxis auch gelebt werden.


Die Entwicklung der ISO 27001-Norm

Der Ursprung von standardisiertem Sicherheitsmanagement in der Informationsverarbeitung liegt im angelsächsischen Raum. Erstmalig wurde 1995 im Britisch Standard 7799 eine Sammlung von Hinweisen, Maßnahmen und bewährten Praktiken für die Informationssicherheit veröffentlicht. Drei Jahre später erschien dazu eine Ergänzung, welche in Form von Spezifikationen ein Modell eines ISMS beschrieb. 2002 ist explizit der PDCA-Zyklus (plan – do – check – act), ein iterativer Problemlösungsprozess, hinzugenommen. Erst im Jahr 2005 erfolgte dann die Überführung der Vorgaben in die ISO / IEC 27001.

DIN ISO / IEC 27001:2015

Zum Ende des Jahres 2013 wurde der ISO 27001-Standard überarbeitet. So wurde die ISO 27001 an neue Entwicklungen angepasst und die Vereinheitlichung der Managementsysteme, welche in den unterschiedlichen ISO-Normen gefordert werden, vorangetrieben. Zwei Jahre später wurde die vollwertige deutsche Version der Norm, die DIN ISO / IEC 27001:2015, herausgegeben.
Imprint|Privacy Statement
print (c) 1996-2017 Knipp Medien und Kommunikation GmbH|webmaster@knipp.de