Wenn Unternehmen einen Dienstleister für Business-Process-Outsourcing (BPO) suchen, sollten die Faktoren Informationssicherheit, Datenschutz und Qualitätsmanagement eine ausschlaggebende Rolle spielen. Immerhin werden dem Anbieter meist sensible Geschäfts- und Kundendaten anvertraut. Dazu kommt, dass die DSGVO die Sicherstellung der Integrität, Verfügbarkeit und Sicherheit von Daten verlangt. Genau diese Anforderungen werden auch bei einer ISO 27001-Zertifizierung geprüft. Wie diese mithilfe der activeMind AG zu erlangen sind, erklärt Thomas Dittmar, Technischer Leiter der MediaKom GmbH & Co. KG – Gesellschaft für Informations- und Dialogmanagement im Best Practice Interview.
Warum spielen IT-Sicherheit und Datenschutz für Ihr Unternehmen eine besonders große Rolle?
Als Mailing- und BPO-Dienstleister verarbeiten wir täglich sensible personenbezogene Daten unserer Kunden, z. B. Krankenkassen, Gewerkschaften, Versicherungen, Kirchen oder Banken. Insofern stellen die Themen Datenschutz und Datensicherheit unternehmensweit eine übergeordnete Anforderung dar. Hierbei spielt die Einhaltung der strengen Vorgaben der Datenschutzgesetze sowie des Sozialgesetzbuches für uns die zentrale Rolle.
Welche Vorteile einer IT-Sicherheitszertifizierung nach ISO 27001 sehen Sie im B2B-Bereich?
Die ISO 27001 ist zwar keine gesetzliche Forderung, jedoch erfüllt sie umfangreiche gesetzliche Auflagen und bietet viele Vorteile. Gerade bei der Verarbeitung von sensiblen personenbezogenen Daten, die ein hohes Maß an Datenschutz und Datensicherheit erfordern, lässt sich mit ihr eindeutig nachweisen, dass beispielsweise Sicherheitsanforderungen nach § 11 BDSG erfüllt sind. Und in den letzten Jahren stellen wir fest, dass die ISO 27001 bei vielen unserer Kunden eine Mindestvoraussetzung für die Auftragsvergabe ist, was wir natürlich sehr begrüßen.
Wieso entschieden Sie sich bei der Vorbereitung für die Zertifizierung auf einen externen Dienstleister wie die activeMind AG zu setzen?
Zwar haben Datenschutz und IT-Sicherheit und die damit verbundene Einhaltung von gesetzlichen Anforderungen für uns schon immer eine sehr hohe Bedeutung, der Umgang mit den Anforderungen einer ISO-Norm war jedoch zum damaligen Zeitpunkt für uns neu. Als wir uns im Jahr 2010 für die Zertifizierung nach DIN ISO/IEC 27001 entschieden, suchten wir also einen Dienstleister, der uns vollumfänglich beim Aufbau unseres Informationssicherheits-Managementsystems (ISMS) unterstützt und dementsprechend auch über ausreichend Erfahrung verfügt – die activeMind AG.
Wie verlief die Zertifizierung vom Erstkontakt bis zum finalen Audit?
Im Dezember 2010 beauftragten wir die activeMind mit der Durchführung einer Erstaufnahme im Bereich Informationssicherheit und Qualitätsmanagement. Auf Basis der bestehenden Unterlagen wurde uns im Januar/Februar 2011 der umfangreiche Dokumentenrahmen – angepasst auf die Bedürfnisse unseres Unternehmens – durch die activeMind zur Verfügung gestellt.
Im Rahmen einer Kick-Off-Veranstaltung für alle Mitarbeiter und die Geschäftsführung wurde das Unternehmen auf die kommenden Schritte bis zur Zertifizierungsreife vorbereitet. Schulungen durch die activeMind AG für Qualitätsmanagement- und Sicherheitsbeauftragte halfen bei der Einarbeitung in die anspruchsvollen Themengebiete der Normen.
Bereits im März 2011 wurde eine umfangreiche Risikoanalyse durchgeführt. Auf Basis der Ergebnisse konnten zusätzliche Schwachstellen erkannt und bestehende Maßnahmen priorisiert werden. Im Mai 2011 erfolgte eine vollständige interne Auditierung nach ISO/IEC 27001 und DIN ISO 9001 unter Zertifizierungsbedingungen durch activeMind. Dieses Audit zeigte den aktuellen Status der Umsetzung und bereitete die Mitarbeiter optimal auf das kommende Zertifizierungsaudit vor.
Ende Juni 2011 erfolgte dann die Auditierung durch den TÜV Hessen. Das Ergebnis war die uneingeschränkte (!) Empfehlung der Auditoren für beide Zertifikate ohne Abweichungen.
In welchem Zeitrahmen konnten Sie Ihr ISO 27001-Zertifikat erlangen?
Vom Zeitpunkt der Entscheidung uns nach ISO/IEC 27001 und zusätzlich DIN ISO 9001 zertifizieren zu lassen bis zur Zertifizierung durch den TÜV Hessen benötigte es ca. sechs Monate.
Die erste Re-Zertifizierung haben Sie bereits erfolgreich absolviert. Inwiefern konnten Sie Ihr Informationssicherheits-Managementsystem noch verbessern?
Die wesentliche Verbesserung sehen wir darin, dass die Anforderungen der Norm mittlerweile vollständig in unsere Geschäftsprozesse integriert sind und vor allem auch bei den Mitarbeiterinnen und Mitarbeitern das Bewusstsein für Datenschutz und Datensicherheit noch einmal deutlich gesteigert werden konnte. Aber natürlich wurden in den letzten Jahren auch viele Sicherheitsmechanismen überarbeitet, denn ein ISMS ist ein dynamischer Prozess und lebt von der regelmäßigen Auditierung. Die activeMind AG unterstützt uns dabei kontinuierlich, indem Sie jährlich interne Audits zur Vorbereitung auf die Zertifizierungsaudits durchführt.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.