Das klingt gut und wichtig, und das ist es auch. Aber was bedeutet das in der Praxis? Warum ist es für einen Kunden klug, mit Organisationen zusammenzuarbeiten, die ISO 27001 haben? Was wird in der täglichen Praxis zur Informationssicherheit unternommen? Für Archive-IT ist die Gewährleistung des Datenschutzes für sensible Daten viel mehr als nur ein Papierzertifikat…
ISO 27001 ist der internationale Standard für Informationssicherheit. Die Norm NEN 7510 ist eng damit verbunden. NEN 7510 ist die ISO 27001-Zertifizierung, die nur speziell auf den Gesundheitssektor ausgerichtet ist. Archive-IT ist im Besitz beider Zertifizierungen und das ist mit allen Geschäftsprozessen verwoben.
Kein jährliches Stressmoment
Mindestens einmal im Jahr besucht uns eine externe Organisation, um zu überprüfen, ob wir die Anforderungen von ISO 27001 noch erfüllen. Was man oft sieht, ist, dass einen Monat, bevor dieser Auditor kommt, die ganze Organisation auf den Kopf gestellt wird, um alles in Ordnung zu bringen. Der Auditor war dort und raten Sie mal was? Sie bleiben weitere 11 Monate auf der gleichen Grundlage, bevor der jährliche Stressmoment wieder einsetzt. Bei Archive-IT verfolgen wir einen anderen Ansatz: Interne Audits werden das ganze Jahr über vom internen Audit-Team durchgeführt. Mitarbeiter von Archive-IT überprüfen ihre Kollegen sowohl angekündigt als auch unangekündigt über die für die ISO wichtigen Verfahren. Das funktioniert!
Beweise
Verfahren zu haben ist eine Sache, diese Verfahren einzuhalten eine andere. Es wird immer um die Beweislast gebeten. Wenn ein Mitarbeiter beispielsweise angibt, dass eine Beschwerde gemäß dem Verfahren innerhalb von 48 Stunden bearbeitet werden muss, fragt der Auditor: „Lassen Sie mich das sehen“. ISO 27001 ist nicht umsonst in Ihrem Besitz… Ihre Organisation muss sie tatsächlich einhalten.
Bewusstsein und Verbesserungen
Neben der Einhaltung der festgelegten Verfahren gibt es noch viele andere Dinge, die zur Informationssicherheit beitragen. Die Sensibilisierung der Mitarbeiter ist sehr wichtig. Durch die Abhaltung interessanter Sitzungen, die Bereitstellung von Informationen und die Hervorhebung der Bedeutung der Informationssicherheit während der Sitzungen wird jeder Mitarbeiter auf allen Ebenen der Organisation in den Prozess einbezogen. Ganz gleich, wie gut die Prozesse erfasst werden, es gibt immer Raum für Verbesserungen. Eine jüngste Verbesserung ist zum Beispiel, dass Mitarbeiter, die mit datenschutzsensiblen Dateien arbeiten, an ihrem Arbeitsplatz kein Mobiltelefon benutzen dürfen. Auf diese Weise verbessern wir uns kontinuierlich, das interne Audit-Team hält uns auf Trab und wir sind offen für Veränderungen.
ISO 27001 ist aus Archive-IT nicht mehr wegzudenken; wir atmen Informationssicherheit sowohl in physischer als auch in digitaler Form. Nicht nur während der Jahresabschlussprüfung, sondern tagein, tagaus. Seien Sie also klug, wenn Sie nach einem Partner suchen, der Ihre datenschutzrelevanten Daten verarbeitet. Wählen Sie ISO 27001.