Zertifizierung unseres Informationssicherheitsmanagementsystems (ISMS) nach VdS 10000
Beim Datenschutz geht es um den Schutz personenbezogener Daten. Der Großteil der Anforderungen ergibt sich aus der Datenschutzgrundverordnung und ist damit für jedes Unternehmen verbindlich. Die Ausgestaltung der Vereinbarungen regeln wir im Auftragsverarbeitungsvertrag AGB-Datenschutz. Den hier eher juristischen Fokus übernimmt für uns die externe Datenschutzbeauftragte GDI mbH.
Bei der Informationssicherheit geht es etwas umfassender um den Schutz aller Informationen, sowohl in Papier-, gesprochener und digitaler Form, mit dem Fokus auf die Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hier mit dem IT-Grundschutz-Kompendium standardisierte Sicherheitsanforderungen vor, die aber für Unternehmen freiwillig sind.
Da wir hier deutlich näher an der Software und ihrem Entwicklungsprozess sind, kann dies aus unserer Sicht nur durch einen internen Informationssicherheitsbeauftragten (ISB) geschehen, der nach langer Suche im letzten Sommer seine Arbeit aufgenommen hat. Informationssicherheit bedeutet nicht, schnell vor jedem Audit eine Menge Dokumente auszufüllen, sondern sie muss bei jedem Schritt berücksichtigt, hinterfragt und gelebt werden.
Während das Gründerteam auch weiterhin die Verantwortung trägt, koordiniert der ISB in Vollzeit den Betrieb unseres auf dem BSI IT-Grundschutz basierendem ISMS und berät und kontrolliert alle Mitarbeiter, Partner und Kunden. Erst durch diese Unterstützung ist es uns nachhaltig möglich, die Vielzahl von bereits getroffenen Maßnahmen auch für externe Auditoren nachvollziehbar aufzuzeigen.
"Das Regelwerk VdS 10000 "Informationssicherheitsmanagementsystem für KMU" stellt ebenso wie die Basis-Absicherung des IT-Grundschutzes einen geregelten Prozess zur Einführung eines ISMS dar. Ebenfalls vergleichbar sind die beschriebenen Handlungsfelder, Unterschiede ergeben sich jedoch in der Ausprägung der einzelnen Anforderungen, die das VdS-Regelwerk in einigen Handlungsfeldern weniger konkret ausformuliert. Somit stellen die Anforderungen der VdS 10000 eine Teilmenge der Basis-Absicherung des IT-Grundschutzes dar und bilden eine gute Basis zur Implementierung eines ISMS gemäß IT-Grundschutz oder ISO 27001." Stellungnahme des Leitungsstabs des BSI.
Am 02.03.2023 hat uns die VdS Schadenverhütung GmbH die Erfüllung der VdS 10000 Anforderungen bescheinigt: https://vds.de/zertifikate/zertifikat/102C5E10
Die Dokumentation und Erfüllung von zusätzlichen Anforderungen bindet Ressourcen auf Gründer- und Entwicklungsebene. Den Fortschritt, wie eine Zertifizierung, kann ein Endanwender aber auf seinem Smartphone nicht erleben. Aber nur so können wir und unsere Auftragsgeber, unseren Verantwortungen und dem an uns gestellten Vertrauen, auch in der Realität gerecht werden. Deswegen fordern immer mehr Einkaufsbedingungen, dass nur noch bei Unternehmen eingekauft wird, die ihre Informationssicherheit bescheinigen können.
Unser ISMS sorgt auch dafür, dass wir als Anbieter auf eine Vielzahl von Szenarien vorbereitet sind. So konnten wir am 30.03.2023, nach Bekanntwerden der Sicherheitslücke in der 3CX App, innerhalb von Minuten reagieren. Noch bevor konkrete Informationen vorlagen konnten wir nicht nur das Risiko eindämmen, sondern auch unsere Mitarbeiter mit frischen Arbeitsgeräten ausstatten, so dass es zu keiner nennenswerten Arbeitsunterbrechung kam.