„Im Zeitalter der Digitalisierung – wie wir als Anbieter von Übersetzungslösungen zur ISO/IEC 27001:2013 kamen“
Prozessnorm für Informationstechnik, Sicherheitsverfahren und Informationssicherheitsmanagementsysteme: ISO/IEC 27001:2013.
Die Handhabung und Sicherstellung von Datensicherheit kann zu Konflikten auf vielen Unternehmensebenen führen. Als Dienstleister multilingualer Services sehen wir es als essenziell wichtig an, klare Signale zu setzen und unser Commitment zu diesen Themen klar zu kommunizieren. Eine Zertifizierung nach der ISO/IEC 27001:2013 war für uns von elementarer Bedeutung, um dieses Ziel zu erreichen.
In unserem Unternehmen verarbeiten wir tagtäglich Kundeninhalte mit unterschiedlichem Vertraulichkeitsgrad, darunter Texte, Audio- und Videodateien, etc. mithilfe unterschiedlichster Tools wie Translation Management Systemen, Machine Translation Lösungen, Text to Speech Anwendungen, und vielen mehr. Darüber hinaus müssen teilweise große Datenmengen sicher übertragen werden.
Unser Weg hin zu einem zertifizierten Informationssicherheitsmanagementsystem (ISMS) begann mit folgendem Ziel: „Wir möchten auf allen Ebenen der Organisation den Schutz von Kunden-, Mitarbeiter- und Geschäftsdaten gewährleisten“. Als Anbieter von Übersetzungs- und Lokalisierungslösungen bedeutete dies vor dem Hintergrund diverser heterogener Anforderungen eine wirksame und nachhaltige Lösung umzusetzen. Dabei war es unumgänglich, einen behutsamen, überlegten aber auch wirtschaftlichen Umgang mit dem Thema zu finden.
Bereits 2003 entwickelten wir unser erstes Qualitätsmanagementsystem, basierend auf den Vorläufern der DIN EN 9001:2015 (nach der wir bis heute zertifiziert sind). Weitere Standards folgten in den darauffolgenden Jahren (ISO 17100 und ISO 18587). Für uns war somit klar: Im Bereich der Informationssicherheit möchten wir ebenfalls eine Zertifizierung nach passendem Vorbild anstreben. Im März 2020 erlangten wir, nach einer intensiven Vorbereitungszeit, erfolgreich die Zertifizierung zur Norm „Informationstechnik, Sicherheitsverfahren und Informationssicherheitsmanagementsysteme ISO/IEC 27001:2013“.
Wie wirkt sich das Informationsicherheitsmanagement auf unsere Arbeit aus?
„Die Sicherheit, Integrität und Verfügbarkeit der Informationsverarbeitung innerhalb unseres Unternehmens sind bestmöglich sicherzustellen“ haben wir als unseren Leitsatz der Informationssicherheit definiert. Mit einer erfolgreichen Zertifizierung bestätigen wir, dass wir in der Lage sind, ein wirksames und nachvollziehbares Management der Bedrohungen und Risiken im IT-Umfeld durchzuführen und uns hierbei an anerkannte Standardvorgaben zu halten.
Nur mithilfe eines engagierten Teams war die Umsetzung eines so umfassenden Systems überhaupt erst möglich, wobei sich unsere Informationssicherheitsbeauftragte Madelein besonders eingesetzt hat. Dabei unterstützt und betreut sie folgende Maßnahmen:
- Regelmäßig durchgeführte Vorsorgemaßnahmen
- Risikoanalysen
- Interne Audits
- Incident- und Change-Management
- Dokumentation und Betreuung des Onboardings und Offboardings von Mitarbeitern
In regelmäßigen Meetings mit dem Management und den einzelnen Fachbereichen werden die Aufgaben besprochen und angestoßen, wobei wir viel Wert auf Weiterbildungen und die regelmäßige Informationsweitergabe an das gesamte Team legen. Dabei holt sich Madelein Unterstützung beim Management, welches entsprechende Ressourcen zur Verfügung stellt und dabei hilft, im gesamten Unternehmen Prozesse zu etablieren.
Wie konnten wir durch diese Verfahren als Unternehmen besser werden?
Gelebte und etablierte Prozesse wurden unter informationssicherheitsrelevanten Aspekten analysiert und angepasst. Daraus ergaben sich neue, verbesserte bzw. beschleunigte Arbeitsweisen. Die umfangreiche Dokumentation des ISMS unterstützte uns dabei, neue Perspektiven auf unseren Geschäftsbetrieb zu erhalten.
Elementar für ein sinnvolles ISMS war für uns der Schutz vor Bedrohungen über alle Geschäftsbereiche hinweg. Innerhalb unserer Geschäftstätigkeit, bei Kundenprojekten und im Umgang mit Kundendaten konnten wir so diesen Schutz noch verbessern.
Erst kürzlich bestand unser System erfolgreich einen Stresstest, als aufgrund der
Covid-19 Maßnahmen Lösungen für mobiles Arbeiten von heute auf morgen deutlich intensiver und häufiger genutzt wurden. Ein Prozess, der für uns reibungslos und problemlos ablief, nicht zuletzt aufgrund der zuvor sorgfältig aufgesetzten Pläne.
Wir sind stolz darauf, die Zertifizierung nach der ISO/IEC 27001:2013 erreicht zu haben. Ein Beleg dafür, dass wir bereits zuvor gute Grundsteine gelegt hatten, um effizient die Vorgaben der Norm einzubinden. Gleichzeitig ist es auch dem besonderen Engagement unseres IT Teams, darunter unserer Informationssicherheitsbeauftragten Madelein und unsere Chief Information Officers Stefan, zu verdanken, dass die Umsetzung so erfolgreich abgeschlossen wurde.