Frischling in der ISO-27001-Welt

IT-Sicherheit: noris network AG erhält Zertifizierung nach ISO 27001 - Hohe Sicherheitsstandards beim Outsourcing- und Outtasking-Dienstleister
Im Gegensatz zu vielen ISO-27001-Zertifizierungen anderer Firmen umfasst der Geltungsbereich bei noris network das gesamte Unternehmen

(27.06.07) - Die noris network AG hat die Zertifizierung nach der internationalen Norm ISO/IEC 27001:2005, "Informationssicherheits-Managementsystem", erfolgreich absolviert. Die von noris network angebotenen IT-Dienste erfüllen damit nachweislich sämtliche Anforderungen der Sicherheitsnorm.

Die noris network AG trat bereits vor zehn Jahren mit dem Slogan "Internet - mit Sicherheit" auf. Speziell Kunden aus dem Bankenbereich stellten bereits vor Jahren hohe Sicherheitsanforderungen an die im noris-network-Rechenzentrum abgewickelten Geschäftsprozesse stellten.

Durch ISO-27001-Zertifizierung bekommen die noris-Kunden die Bescheinigung von einem objektiven, neutralen Zertifzierer, dass ein Sicherheits-Management-Prozess im Unternehmen etabliert, überwacht und regelmäßig neu durchleuchtet wird. Der zentrale Vorteil für die Kunden ist, dass sie bei IT-Outsourcing keine Investitionen in eigene Rechenzentren oder Infrastruktur tätigen müssen und auf einen zertifizierten Dienstleister zurückgreifen können.

Die Zertifizierung für die noris network AG erteilte die DQS GmbH aus Frankfurt. Als erste Gesellschaft zur Zertifizierung von Managementsystemen in Deutschland vom DIN Deutsches Institut für Normung e.V. und vom DGQ Deutsche Gesellschaft für Qualität e.V. gegründet, ist die DQS GmbH ein führender deutscher Auditor für Informations-Sicherheits-Management-Systeme. noris network ist nach eigenen Angaben der 70. Zertifikatsinhaber in Deutschland.

Im Gegensatz zu vielen ISO-27001-Zertifizierungen anderer Firmen umfasst der Geltungsbereich bei noris network das gesamte Unternehmen. Neben den Rechenzentren und Infrastrukturen umfasst das Sicherheitsmanagement alle Bereiche, angefangen vom Vertrieb, über die Konzeption bis hin zum Betrieb.

IT-Sicherheits-Management ist Chefsache

Die Leitungsebene der noris network AG ist hinsichtlich der notwendigen Sicherheit stark sensibilisiert. Die IT ist die Kernkompetenz des Unternehmens. Deshalb wird nicht nur die Verantwortung für das Sicherheitsmanagement als solches mit entsprechenden Ressourcenvergaben, sondern auch der gesamte IT-Risikomanagement-Prozess auf Geschäftsleitungsebene durchgeführt.

Während Unternehmen mit ISO-27001-Zertifizierung überwiegend bereits einen Zertifzierungsprozess nach der Britischen Norm BS 7799-2 in der Tasche hatten, ist noris network in dieser Normenfamilie ein Neueinsteiger. Für Joachim Astel, Vorstand der noris network AG war dies eine spannende Herausforderung: "Die Normenfamilie ISO 27XXX ist noch nicht ganz komplettiert. Das heißt, für uns war viel Rechercheaufwand notwendig, um den Gesamtkontext für die ISO 27001 in Zusammenhang mit älteren Normen zu erarbeiten. Aber die große Chance der ISO-27001-Norm ist, ein auf das Unternehmen perfekt zugeschnittenes Risikomanagement aufzubauen zu können."

Angefangen mit dem Prozessmanagement nach ITIL und der Rechenzentrumsausgestaltung konform nach den BSI-Grundschutzkatalogen hatte noris network bereits lange vor der Einführung der ISO 27001 sehr viele Grundlagen als so genannte "basics" festgelegt. Aktuelle Anforderungen, wie eine normgerechte Behandlung von "Information Security Events" - und somit nicht nur von Security Incidents -, wurden jetzt im gesamten Unternehmen durchgängig etabliert. Entsprechende regelmäßige Sensibilisierungsmaßnahmen unterstreichen die Nachhaltigkeit des Informationssicherheits-Managementsystems. (noris: ra)