Zurück zur Übersicht
26. April 2022 | Security

ISO-Zertifizierungen bei ITpoint: Wirkung statt Papiertiger

ITpoint ist nach den Standards ISO 27001 und ISO 20000 zertifiziert und nach ISAE 3402 geprüft. Nicht weil wir uns für Zertifikate und Audits begeistern, sondern weil die Standards uns zur Selbstdisziplin und Kultur verhelfen, uns ständig zu verbessern. Denn genau das erwarten unsere Kunden von uns. Schliesslich vertrauen sie uns nicht weniger an als ihre IT. Ein Bericht zur aktuellen Lage.

Ihr jährliches Erscheinen ist unausweichlich: Seit 2014 sind unabhängige externe Auditoren regelmässig zu Gast bei ITpoint, durchleuchten die Entwicklung unserer Prozess-Maturität, dokumentieren die Erkenntnisse, sorgen so für die Aufrechterhaltung oder Erneuerung der Zertifizierungen. Wer seine Organisation auf die Normen internationaler Standardisierungs-Organisationen wie ISO/IEC ausrichtet, tut das nicht aus einer Laune heraus, sondern nimmt viel Arbeit und potenzielle Friktionen in Kauf, um langfristig daran zu wachsen. So auch ITpoint. Um unsere Organisation und unsere Kunden nicht zu sehr zu strapazieren, haben wir ein Vorgehen in drei Schritten gewählt. Lesen Sie nachfolgend, wie das abgelaufen ist, wo wir stehen und was Ihnen das als Kunde von ITpoint bringt.

Schritt 1: ISO/IEC 20000 | IT Service Management | seit 2014

Armin Büeler, Chief Process Officer bei ITpoint erinnert sich gut an den ISO 20000 Zertifizierungs-Audit:

Nach Monaten der Vorarbeit und zahlreichen Spagaten zwischen dem Verbessern von Prozessen und der Denkhaltung der Mitarbeitenden waren unsere Nerven zum Zerreisen gespannt.

Es kam gut. Der Start in die Ära der internationalen IT-Standards war getan. ISO 20000 ist eine Grösse. Der einzige international anerkannte Standard für IT-Service Management. Er definiert ein ganzes Set von Managementprozessen, die entworfen wurden, um gegenüber den Kunden effektivere IT Services nach «best Practices» bereitzustellen. Nach mehreren Aufrechterhaltungs-Audits und Re-Zertifizierungen hat das IT-Service-Management-System bei ITpoint inzwischen einen sehr hohen Reifegrad erreicht. Erfahren Sie in diesem Blog-Beitrag, wie die Re-Zertifizierung 2017 abgelaufen ist.

Schritt 2: ISO/IEC 27001 | Informationssicherheit | seit 2020

Für Patrick Hertig, Chief Information Security Officer bei ITpoint, war ISO 27001 ein logischer weiterer Schritt:

Informationssicherheit ist ein Dauerthema, hat aber jüngst durch viele bekannt gewordene Vorfälle bei Unternehmen nochmals an Brisanz gewonnen. Ein Unternehmen, das von uns IT Services bezieht, erwartet, dass wir unsere Organisation optimal rüsten.

Tatsächlich bringt uns ISO 27001 dazu, unser Information Security Management System (ISMS) mit Regeln, Verfahren und Methoden zu bestücken, mit denen sich die Informationssicherheit steuern, kontrollieren, sicherstellen und optimieren lässt. Seit Juni 2020 ist ITpoint nun auch nach ISO 27001 zertifiziert. Damit werden die Prozesse im Service-Management-System in Bezug auf Datensicherheit zusätzlich gestützt. Mit der Zertifizierung erbringen wir den dokumentierten Nachweis, dass wir die Anforderungen der IT-Sicherheit einhalten und die Massnahmen zum Schutz von Daten umsetzen. ISO 27001 muss von externen Auditoren jährlich überprüft werden (Re-Zertifizierung alle drei Jahre).

Schritt 3: ISAE 3402 Typ 2 | internes Kontrollsystem | seit 2022

Mit ISAE 3402 lassen wir im Grunde extern überprüfen, dass wir uns intern kontrollieren. Weniger für uns als vielmehr für unsere Kunden. Der ISAE 3402 Report der «International Standard on Assurance Engagements» belegt die Wirksamkeit der von uns durchgeführten Kontrollen im Zusammenhang mit ISO 27001 und ISO 20000. Unser Kontrollsystem wird von einem unabhängigen Wirtschaftsprüfer jährlich überprüft und bestätigt. Für unsere Kunden kann dieser Report für ihre internen/externen Audits dienen – ohne, dass sie ihn selbst durchführen lassen müssen.

Kontinuierlich Verbesserung als Hauptnutzen

Wir sind nicht ISO-versessen, haben aber den Wert internationaler Standards erkannt. Schlussendlich nützen die Aktivitäten unseren Kunden und uns durch:

  • Steigerung der Service-Qualität durch kontinuierliches Monitoring und Standardisierung der IT-Service-Prozesse
  • Reduzierung des Risikos für Service- und Systemausfällen
  • Präventive Sicherung der Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität von Informationen
  • Transparenz in der Darstellung der IT-Leistungen gegenüber den Kunden
  • Sensibilisierung der Mitarbeitenden und ein deutlich stärkeres Service- und Sicherheitsbewusstsein auf allen Unternehmensebenen
  • Vereinfachung für unsere Kunden, spezifische Branchen-Audits problemlos zu bestehen
  • Kontinuierlicher Verbesserung der IT-Prozesse und Informationssicherheit

Auch wenn der Aufwand für das Aufrechterhalten der ISO-Standards nicht unerheblich ist, steigern die Anstrengungen Produktivität, Qualität und Sicherheit für Sie als Kunde. Als Maxime sehen wir «Continuous Improvement» (kontinuierliche Verbesserung). Sich internationalen Standards zu stellen, bedeutet anfänglich, den virtuellen Tritt in den Hintern zu spüren. Wir freuen uns sehr, inzwischen festgestellt zu haben, dass sich bei ITpoint eine Kultur der ständigen Verbesserung eingestellt hat. Wer den Sinn in einer Sache sieht, ist doppelt motiviert.

Bei Fragen zu ISO27001 steht Ihnen Patrick Hertig gerne zur Verfügung. Für Informationen zu ISO20000 wenden Sie sich bitte an Armin Büeler.

Wir freuen uns sehr auf die weitere Zusammenarbeit mit Ihnen!

Patrick Hertig

Chief Information Security Officer

Artikel über Security

Zur Blogübersicht
Doppelsieg an der Fortinet Fabric Challenge
ITpoint Mitarbeitende , Security

Doppelsieg an der Fortinet Fabric Challenge

Erstklassige Sicherung für Microsoft 365
Managed Services / Cloud , Security

Erstklassige Sicherung für Microsoft 365

IT-Sicherheit: im Umgang mit den Hardware-Lecks
Security

IT-Sicherheit: im Umgang mit den Hardware-Lecks