Im April 2019 wurde es vom TÜV Rheinland ganz offiziell besiegelt: Die Circlon | group erfüllt die Anforderungen der internationalen Norm für Informationssicherheit.

Es war ein Kraftakt, aber er hat sich gelohnt: Mit einem nach ISO 27001 zertifizierten Informationssicherheits-Management-System (ISMS) verdeutlicht die Circlon | group in Köln, dass sie kontinuierlich und in hohem Maße in die Sicherheit von Informationen, Daten und Systemen investiert. Die Zertifizierung ist als standortübergreifende Aufgabe angelegt und betrifft auch die ISMS-Teams der Circlon | group in Göttingen und Norderstedt. Die wirksame Behandlung von Gefährdungen gemäß einer Risikoanalyse trägt unternehmensweit zum Schutz von Werten bezüglich Vertraulichkeit, Integrität und Verfügbarkeit bei. Vom normengerechten Umgang mit Bedrohungen profitieren Kunden und Geschäftspartner der Circlon | group.

Im Rahmen der ISMS-Maßnahmen sind nun alle Informationen geschützt. Zudem wird die Verfügbarkeit der IT-Systeme erhöht, Software-Prozesse laufen sicherer und organisatorische Abläufe werden fortlaufend optimiert. Michael Zitzmann, Geschäftsführer der Circlon | group, sagt hierzu: „Die Sicherheitsrichtlinien und -anforderungen unserer Kunden müssen auch wir als Lieferant berücksichtigen. Mit der Einführung eines ISMS und der Zertifizierung kommen wir hier unserer Verantwortung nach – und zwar transparent und nachweislich. Weiterhin setzen wir einen kontinuierlichen Verbesserungsprozess gemäß ISO 27001 in allen unseren Standorten um und weisen auch zukünftig den Erfolg durch regelmäßige TÜV Rheinland-Prüfungen nach.“

 

Nach dem Audit ist vor dem Audit

Ein Informationssicherheits-Management-System wird üblicherweise in einem kontinuierlichen „Plan-Do-Check-Act-Prozess“ (PDCA-Zyklus) umgesetzt. Ein Jahr nach der Erst-Zertifizierung, d.h. im März 2020, erfolgt erneut eine Prüfung durch TÜV Rheinland mit Auditierung der Praxisumsetzung und der kontinuierlichen Verbesserung des ISMS. Hierbei wird festgestellt, ob man das Sicherheitsniveau erhöhen konnte. Deshalb sind regelmäßige Trainingseinheiten mit allen Mitarbeitern und eine ständige Selbstkontrolle notwendig.

Der nicht unerhebliche Initialaufwand für die Zertifizierung des Headquarters in Köln hat sich gelohnt, denn auch die anderen Niederlassungen der Circlon | group profitieren aktuell davon. In Göttingen ist bereits im Januar eine Bestandsaufnahme („GAP-Analyse“) erfolgt. Das ISMS befindet sich dort derzeit im Aufbau, die Maßnahmen werden voraussichtlich im 3. Quartal 2019 greifen. In Norderstedt startete das ISMS-Projekt im Februar. Die Erweiterung der Zertifizierung auf diese Standorte ist gegen Ende des Jahres 2019 geplant.

 

Bruno Tenhagen (links) – Fachlicher Leiter ICT Services & Auditor ISMS, TÜV Rheinland, Michael Zitzmann (Mitte) – CEO der Circlon | group und Christian Höhnisch (rechts) – IT-Auditor, TÜV Rheinland

 

Sicherheit dank geprüfter IT-Infrastruktur

Der ISMS-Anwendungsbereich der Circlon | group umfasst alle Prozesse zur Erfüllung der Dienstleistungen, die entsprechenden Mitarbeiter sowie Räumlichkeiten und Gebäude. Der Geltungsbereich beinhaltet die IT-Infrastruktur einschließlich interner und externer Verbindungen, physikalischer Hosts und aufgesetzter Server. Im Fokus sind insbesondere das ERP-System, das Circlon-Operate-System, die Quellcode-Verwaltungssoftware und die Bürokommunikation. So wurde beispielsweise ein vom Firmensitz getrennter Server-Raum eingerichtet, ein Notfall-Szenario festgelegt und die elektronische Klassifizierung der Dokumente und E-Mails mit Microsoft AIP (Azure Information Protection) umgesetzt.

 

Jahrelange Vorbereitungen zahlen sich aus

Das ISMS-Team in Köln hat seine Arbeit im Juli 2017 aufgenommen. Anfang Oktober 2018 erfolgten interne Test-Audits durch das ISMS-Team sowie das Vor-Audit durch einen externen Berater. Alle Informationen und weit über hundert Dokumente zum Thema ISMS werden ständig auf Aktualität und Anwendbarkeit überprüft. Dabei handelt es sich zum großen Teil um Richtlinien und Verfahrensbeschreibungen zu Themen wie Zugangskontrolle, Umgang mit Kennwörtern, Mobilgeräten, Verschlüsselung und vieles mehr. Die erforderlichen Maßnahmen werden, soweit möglich, mittels automatisierter Abläufe realisiert.

Im Januar 2019 erfolgte am Unternehmenssitz in Köln die Sichtung der nach ISO 27001 notwendigen Dokumente, im Rahmen der TÜV Rheinland Prüfung und die Erstellung des Audit-Plans. Dem Plan entsprechend, fand im Februar die Wirkprüfung statt, die ohne Reibungspunkte ablief. Das Ergebnis war im März klar: Die Circlon | group in Köln erhält die Zertifizierung. Darüber können sich auch die Kunden und Partner des Unternehmens freuen, denn es zeigt, dass nachweislich ein hohes Maß an Informationssicherheit besteht. 

Bruno Tenhagen, Sicherheitsexperte beim TÜV Rheinland, äußerte sich wie folgt: „Das ISMS-Team der Circlon in Köln hat die Anforderungen der Norm erfolgreich in die Praxis umgesetzt. Die Anstrengungen der Circlon | group haben sich gelohnt: Wir haben keine Abweichungen beanstandet, lediglich Empfehlungen zur Verbesserung. Wir freuen uns, der Ciclon | group in Köln mit unserem TÜV-Rheinland Zertifikat bestätigen zu können, dass sie die Anforderungen der ISO 27001 für Informationssicherheit erfüllt hat.“

 

Die Norm ISO/IEC 27001

In einer Zeit zunehmender Digitalisierung können Unternehmen mit einer Zertifizierung nach ISO 27001 die Wirksamkeit ihres ISMS objektiv und glaubwürdig nachweisen. Dieser weltweit anerkannte Standard definiert die Anforderungen, die an die Einführung, Umsetzung, Dokumentation und Verbesserung eines ISMS gestellt werden.

Auch die Circlon | group schützt auf diese Weise ihre vertraulichen Daten sowie die Integrität und Verfügbarkeit Ihrer IT-Systeme. Denn so wie sich die Informationsstruktur zwischen Menschen und elektronischen Systemen ständig verändert, variieren auch die Bedürfnisse, Ziele und Einflussfaktoren an die Sicherheitsanforderungen, Abläufe und Strukturen eines Unternehmens im Laufe der Zeit.

Mit der Einführung eines zertifizierten ISMS hat die Circlon | group das Ziel erreicht, die Sicherheit bezüglich Vertraulichkeit, Integrität und Verfügbarkeit von Informationen für Kunden und Partner nachvollziehbar zu wahren und durch externe Prüfungen transparent nachzuweisen. Dazu gehört den ISMS-Prozess (PDCA-Zyklus) fortlaufend „zu leben“ und zu verbessern. Auf diese Weise wird die Circlon | group ihrem Innovationsgrundsatz gerecht und arbeitet darauf hin, die Zertifizierung auf alle Standorte auszudehnen und von TÜV Rheinland zertifizieren zu lassen. 

 

 

 

Top