Kunden sind zu Recht misstrauisch wenn es um die Weitergabe ihrer sensiblen Daten an Dritte geht.
Obwohl Interfax, Entwickler von ShieldQ, stets ein strenges Informationssicherheits-Managementsystem (ISMS) gewährleisten konnte, welches Kundendaten vor jeglichen internen und externen, sowie bewussten oder zufälligen Bedrohungen schützt, ist das Unternehmen einen Schritt weitergegangen und hat nun die begehrte ISO 27001 Zertifizierung durch Certification Europe erhalten.
ISO 27001 ist ein international anerkannter und angesehener Standard, welcher klar definiert, ob ein Unternehmen dem Erfolgsmodell der Informationssicherheit folgt. Dieser absolut neutrale Standard wendet einen anspruchsvollen, risikoorientierten Ansatz an, um die Datensicherheit in einem Unternehmen zu ermitteln, sowie IT-Strukturen, Prozessabläufe und Personen zu beurteilen.
Die Zertifizierung ist nicht zwingend erforderlich: Unternehmen, die ihren Kunden Datensicherheit gewährleisten, unterliegen einer strengen Prüfung. Dies kann den Unterschied zwischen der Einführung von Erfolgsmodellen und Prozessen zur Gewährleistung eines maximalen Kundendienstschutzes und eines nicht vollständig optimierten Sicherheitssystems ausmachen.
Sehr wenige Unternehmen haben bis dato tatsächlich die ISO 27001 Zertifizierung erhalten. Laut der ISO.org sind es nur 27.536 Unternehmen weltweit, die 2015 zertifiziert wurden – darunter Xerox, Pfizer und Vodafone. Andere Firmen verlassen sich auf die ISO 27001 Zertifizierung externer Rechenzentren, und lassen sich nicht selbst zertifizieren.
Mit dieser Zertifizierung ist ShieldQ der einzige Dienstleister für Multi-Channel-Datenmanagement und -speicherung, der durch die Akkreditierung nach ISO 27001 und PCI DSS Level 1 Standards die Sicherheit von Kundendaten gewährleistet.
Wie wird ISO 27001 bewertet?
Nur autorisierte Organisationen wie die Certification Europe können die ISO 27001 Zertifizierung erteilen, nachdem Sie selbst einer Expertenprüfung unterzogen wurden, die bescheinigt das Daten in ausreichendem Maß gesichert sind.
Das Drei-Stufen-Modell umfasst:
Stufe 1: eine formlose Prüfung des ISMS, um sicherzustellen, dass wesentliche Dokumente existieren und aktuell sind. Diese umfassen:
- Eine einheitliche Sicherheitspolitik
-
Ein Risiko-Management-Plan
-
Eine Anwendererläuterung (wie man einen großen Teil der Informationssicherheit realisiert)
Stufe 2: unabhängige Prüfung des ISMS gegen spezifische Anforderungen von ISO/IEC 27001. Sobald die Zertifizierungsstelle festgestellt hat, dass ISMS, Prozesse und Personen des Unternehmens den ISO 27001 Standards entsprechen, gilt die Zertifizierung für drei Jahre.
Stufe 3: das Unternehmen unterliegt einer Folgeprüfung oder regelmäßigen Kontrollbesuchen, um zu bestätigen, dass das Unternehmen die Vorgaben erfüllt. Dies wird alle drei Jahren wiederholt.
Was ist der Unterschied zwischen einem ISO 27001-zertifiziertem Unternehmen und einem nicht-zertifizierten?
Die untenstehende Tabelle beschreibt, wie Daten in einem ISO 27001 zertifizierten Unternehmen, wie z.B. Interfax, geschützt werden.
Interfax: zertifiziertes Unternehmen Investition in ein ISMS, zur Sicherung vertraulicher Kundendaten |
Nicht-zertifizierte Unternehmen Kein ISMS, aufs Beste hoffen - zugleich ein Risiko gegenüber Kundendaten eingehen |
|
Schützt vertrauliche Daten | Investitionen in Informationssicherheit und Zertifzierungen | Ohne ordnungsgemäßes ISMS kann das System schnell zu einer undichten Stelle werden |
Ermöglicht einen sicheren Informationsaustausch | Geprüfte und sichere Kommunikationskanäle | Unsichere Kommunikationskanäle |
Stellt sicher, dass gesetzliche Vorschriften eingehalten werden (EU DSGVO) | ISO 27001 bereitet Organisationen auf die strengen Regeln der DSGVO vor |
Es braucht nur eine Kleinigkeit, um mit heftigen DSGVO Bußgeldern belastet zu werden: diese entsprechen 2% des jährlichen weltweiten Umsatzes |
Unterstützt das Unternehmen bei der Einhaltung anderer Vorschriften (PCI DSS) | Ähnliche Sicherheitsrichtlinien machen es einfach, die PCI DSS Kreditkartensicherheitsregeln einzuhalten | Nicht zertifizierte Unternehmen müssen oft viel Zeit und Geld für die Datensicherheit investieren |
Gewährleistet gleichbleibende Serviceleistungen | ISO 27001 Anforderungen verhindern Störungen im Arbeitsablauf | Ohne ordnungsgemäße Kontrollen, kann es zu Störungen kommen |
Bildet eine einheitliche Sicherheitskultur | Das gesamte Personal ist zum Thema Informationssicherheit und Datenschutz geschult und getestet - dadurch wird jede Interaktion mit dem Maximum an Sicherheit behandelt | Laut Verizon Datensicherheitsreport 2017 ist die menschliche Arbeitskraft das schwächste Glied in einem Unternehmen; not intentionally, nicht absichtlich jedoch durch die Missachtung solider IT Protokolle |
Nicht zertifizierte Unternehmen erkennen Schwachstellen oft erst nach Monaten, oder es vergehen sogar Jahre. Täter können vertrauensvolle Angestellte sein, die unerlaubterweise Zugang zu sensiblen Daten erhalten haben | ||
Verwaltet und minimiert die Risikoquellen | Da ISO 27001 risikobasierte Verfahren anwendet, werden potenzielle Risiken prognostiziert und sichergestellt, dass diesen behoben werden | Ohne vorgegebene Richtlinie bieten diese Unternehmen eine Angriffsfläche |
Hier können Sie eine Kopie der ISO 27001 Zertifizierung von InterFAX ansehen oder downloaden.
Weitere Informationen zur ISO 27001 Zertifizierung finden Sie hier.