Die Adacor Hosting GmbH ist DIN ISO/IEC 27001:2013 (kurz ISO 27001) zertifiziert. Mit einem nach ISO 27001 zertifizierten Informationssicherheits-Managementsystem (ISMS) etabliert Adacor einen hohen Standard für die Sicherheit von Informationen, Daten und Systemen. Kunden können sich nachweislich auf eine belastbare Informationstechnik verlassen.
ISO 27001 unterstützt Unternehmen, die Informationssicherheit und IT Security systematisch und strukturiert zu optimieren und den spezifischen Anforderungen anzupassen. Sie hilft beim Schutz der Vertraulichkeit betrieblicher Daten und sorgt für eine Verbesserung der IT-Infrastruktur.
ISO 27001 bietet viele Vorteile.
Zu den Vorteilen zählen:
- Minimierung von Haftungs- und Geschäftsrisiken
- Reduzierung von Prozess- und IT-Kosten
- Zuverlässiges Erkennen und Eliminieren von Bedrohungen im Unternehmen
- Höherer Schutz vertraulicher Daten vor Missbrauch, Verlust und Offenlegung
- Sensibilisierung der Mitarbeitenden für die Informationssicherheit
Der Gesetzgeber fordert zwar nicht konkret die Compliance zur ISO 27001. Diese unterstützt dennoch die Erfüllung verschiedener gesetzlicher Auflagen zu Sicherheitsmaßnahmen. So weist Adacor etwa dadurch nach, dass angemessene technische und organisatorische Maßnahmen (TOMs) im Sinne der §64 Bundesdatenschutzgesetz (BDSG) und Artikel 32 EU-Datenschutzgrundverordnung (EU-DSGVO) umgesetzt werden. Des Weiteren vereinfacht dies Überprüfungs- und Überwachungshandlungen von Externen, etwa bei Audits durch Wirtschaftsprüfer zur Überwachung des Internen Kontrollsystems (IKS) oder der Auditierung nach anderen Standards wie dem VDA ISA im TISAX-Kontext (Trusted Information Security Assessment Exchange).
Mit dem Cloud Adoption Framework brechen wir IT-Projekte in überschaubare Arbeitspakete auf.
Mehr als 50 Tools, Vorlagen und geführte Workshops
In 5 Min verschafft Ihnen Adacor CEO Andreas Bachmann mit seinem Video einen Überblick
Adacor Cloud Adoption Framework
Durch die Zertifizierungen und auf Anfrage einsehbare Begleitdokumentation erhalten auch Kunden notwendige Informationen, um sich über die Zuverlässigkeit von Adacor in der Informationssicherheit zu vergewissern. So können deren Überprüfungshandlungen vereinfacht werden oder sich sogar erübrigen.
Für die Zertifizierung hat Adacor fünf Schritte erfolgreich durchlaufen
- Einführung eines Informationssicherheits-Managementsystems (ISMS)
- Auflistung und Klassifizierung von Unternehmenswerten (Assets)
- Erstellung einer Risikoanalyse
- Umsetzung erforderlicher Maßnahmen
- Zertifizierungsaudit
Ein ISMS hat Adacor vor mehreren Jahren implementiert. Während des Zertifizierungsprozesses gemäß des ISMS wurden die relevanten Prozesse und Assets betrachtet. Das Kundengeschäft von Adacor besteht darin, technische Infrastrukturen nach den individuellen Wünschen und Bedürfnissen zu erstellen und nicht Server nach Stange zu verkaufen. Widersprüche oder Abweichungen zwischen diesen Anforderungen und denen des ISMS sind da fast unausweichlich.
Der Geltungsbereich entspricht diesem Umstand und stellt dennoch einen Mehrwert für die Kunden dar:
IT-Systeme, Anwendungen, Netzwerkinfrastrukturen, Prozesse und Mitarbeitende an den Standorten von Adacor, die zur Bereitstellung und Betreuung der technischen Infrastruktur eingesetzt werden, auf deren Grundlage die Dienstleistungen Cloud Hosting und Managed Services erbracht werden, einschließlich der unternehmensseitig benötigten Zentralfunktion.
Sämtliche relevanten Unternehmens-Assets (Rechner und Netzwerkkomponenten, das Rechenzentrum, eingesetzte Software-Anwendungen, Prozesse wie regelmäßige Backups sowie alle nicht greifbaren Assets wie Geschäftsgeheimnisse und die Mitarbeitenden), die im Rahmen des Geltungsbereichs betrachtet werden müssen, wurden identifiziert, aufgelistet und in Gruppen klassifiziert. Für jede Gruppe wurden die einzelnen Risiken separat betrachtet und hinsichtlich der Eintrittswahrscheinlichkeit und der Ausnutzbarkeit von Schwachstellen bewertet. Aus den Ergebnissen wurden risikomindernde Maßnahmen abgeleitet.
Das eigentliche Audit erfolgte in einem zweistufigen Prozess. Im Stufe-1-Audit wurde die Dokumentenlandschaft geprüft. Wurde alles behandelt, was der Standard vorschreibt? Waren alle Unterlagen wie Richtlinien, Risikoanalysen und Maßnahmenpläne vollständig? Im Stufe-2-Audit wurde geprüft, ob Adacor die dokumentierten Prozesse umsetzt. Dafür wurden Mitarbeitende von ISM (Informationssicherheit & Compliance Management), der IS-Beauftragte und der IT-Compliance-Beauftragte sowie der Teams Technology Operations (TOP), Network Operations (NOP), Customer Operations (COP), People Operations (PEO) interviewt. Die Geschäftsführung wurde ebenfalls befragt. Für einen Einblick in die erforderlichen Nachweise in Bezug auf das ISMS sichteten die Prüfer Protokolle, Wartungsnachweise und Prozesse. Sie schauten sich außerdem Systeme im Live-Betrieb an. Bei einer Begehung der Räumlichkeiten wurde beispielsweise überprüft, ob Mitarbeitende ihren Bildschirm gesperrt hatten, wenn sie ihren Arbeitsplatz verlassen haben.
Fazit: Risiken verstehen, Werte schützen
Das Audit verlief sehr gut und die Auditoren verfassten einen positiven Bericht ohne Abweichungen mit nur wenigen Verbesserungsvorschlägen. Die Auditoren hoben zwei Punkt in ihrem Bericht besonders positiv hervor: Das Risikomanagement und die hohe Awareness zum Thema Informationssicherheit bei allen Mitarbeitenden. Final stellte der TÜV Rheinland das Zertifikat aus.
Mit der ISO 27001 Zertifizierung ist Adacor einen wichtigen Schritt in Richtung Zukunft gegangen. Kunden erhalten einen vertrauenswürdigen Beleg dafür, dass ausreichende IT-Sicherheit gewährleistet ist und ihre Daten in sicheren Händen sind.
Das Zertifikat ist drei Jahre lang gültig, bis dahin finden jährliche Überwachungsaudits statt. Adacor freut sich auf diesen Prozess und darauf, die Informationssicherheit weiter zu verbessern.