Mission erfüllt: Wir sind nun auch zertifiziert nach ISO 27018!
Nach acht arbeitsreichen Monaten der Vorbereitung für unser ISMS-Team und viele weitere Mitarbeiter der pegasus GmbH, die tatkräftig unterstützt haben, sind wir alle sehr stolz auf die erfolgreiche neue Zertifizierung nach ISO 27018!
Begonnen hatte alles mit der Frage: Wie können wir intern sicherstellen und auch nach außen belegen, dass wir bei unseren Cloud-Lösungen ein hohes Maß an Sicherheit für die gespeicherten personenbezogenen Daten bieten? Die Antwort sollte unsere Private Cloud, die Microsoft Cloud und auch die Hybrid-Kombinationen, die wir anbieten, abdecken.
Es war relativ schnell klar, dass wir uns dazu um eine Zertifizierung nach ISO 27018 bemühen möchten.
Wie sind wir vorgegangen?
Eine wichtige Voraussetzung hatten wir bereits erfüllt: Die Zertifizierung nach ISO 27001, die das Unternehmen bereits seit 2017 besitzt. Unsere Informationssicherheitskonzepte und deren Umsetzung stehen auf sicheren Beinen, die Risiken werden regelmäßig bewertet, die entsprechenden Maßnahmen laufend angepasst.
In den folgenden Wochen sind wir mit den Kollegen aus der Technik in Klausur gegangen. Zu klären war: Was will die Norm ISO 27018 im Einzelnen von uns? Wo decken wir die Forderungen bereits ab und wo müssen wir nachbessern? Wir können wir zudem auch nachvollziehbar belegen, dass wir die Forderungen erfüllen? Themen der Zugangssteuerung, der Ereignisprotokollierung, des Backups, der Daten-Löschungen und zahlreiche mehr waren zu betrachten und zu bewerten.
Technische Voraussetzungen stimmen
Erfreulicherweise hat sich herausgestellt, dass wir technisch bereits sehr gut aufgestellt waren. Technische Verbesserungen waren nur in wenigen Detailbereichen notwendig.
Die große Aufgabe bestand nun darin, Strukturen und Prozesse zu definieren, mit denen wir sicherstellen können, dass die notwendigen Sicherheitsmaßnehmen im geforderten Turnus durchgeführt und ständig optimiert werden. Auch Nachweise und ausreichende Dokumentation mussten bereitgestellt werden.
Im November 2021 waren wir nach unserer Einschätzung so weit, das Audit konnte kommen! Zu unserer großen Freude hat uns der Auditor bei seiner Prüfung bestätigt, dass wir die Anforderungen der Norm 27018 in sehr guter Weise erfüllen.
„Die Einführung der ISO 27018 ist für das ganze Unternehmen und besonders auch für unsere Kunden eine große Errungenschaft.“ so Robert Weininger, der Geschäftsführer der pegasus GmbH. „Damit belegen wir nachvollziehbar, dass wir alle notwendigen Maßnahmen dafür ergreifen, die Daten unserer Kunden in den von uns bereitgestellten oder gemanagten Cloud-Umgebungen zu schützen.“
