Informationen gehören zu den wichtigsten Gütern eines Unternehmens, daher sollten Sie beim Thema Informationssicherheit keine Kompromisse eingehen. Das gilt insbesondere, wenn Sie mit informationsverarbeitenden Anwendungen wie einem Enterprise Content Management System (ECM) arbeiten. Wenn Sie hier auf eine Software mit ISO 27001-Zertifizierung setzen, profitieren Sie von vielen Vorteilen. Welche das sind, erfahren Sie in diesem Beitrag.

Bei der ISO/IEC 27001 handelt es sich um die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Sie dient als Standard für die Definition, Umsetzung und Überwachung von passenden Regeln und Verfahren, um die Informationssicherheit systematisch zu optimieren und an gesetzliche oder auch branchenspezifische Anforderungen anzupassen.

Oberstes Ziel ist dabei die Einhaltung der drei zentralen Schutzziele der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Das bedeutet,

1. dass ausschließlich befugte Personen Zugriff auf bestimmte Informationen erhalten.
2. dass die Informationen stets vollständig, konsistent und vertrauenswürdig sind.
3. dass die Informationen immer dann (für befugte Personen) verfügbar sind, wenn sie benötigt werden.

Zu den Anforderungen an ein ISMS nach ISO 27001 gehören unter anderem:

• Festlegung von klaren Informationssicherheitsleitlinien
• Risiken- und Chancenbewertung
• Durchführung von internen Audits
• Entwicklung von geeigneten Maßnahmen zur Risikobehandlung
• Aufbau eines kontinuierlichen Verbesserungsprozesses

Um die Konformität und Effektivität Ihres Informationssicherheits-Managementsystems nach ISO 27001 nachzuweisen, empfiehlt sich eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz. Das Zertifikat erhalten Sie nach einem erfolgreichen Systemaudit durch eine unabhängige, akkreditierte Zertifizierungsstelle.

Hey Doxi, wer muss sich nach ISO 27001 zertifizieren?

Ein ECM-System hilft Ihnen dabei, geschäftsrelevante Informationen digital zu erfassen, Ihre Dokumente zu strukturieren und Ihre Geschäftsprozesse zu optimieren. Informationssicherheit spielt dabei eine große Rolle und betrifft unter anderem die Sicherheit der Anwendungen, Netzwerke und Datenbanken. Daher ist es ratsam, bei der Wahl eines geeigneten ECMs auf eine ISO 27001-Zertifizierung zu achten. Denn diese bietet Ihnen viele Vorteile:

1. Ganzheitlicher Schutz der Informationen

Die ECM-Software erfasst und verarbeitet viele kritische und hochsensible Informationen, die es zu schützen gilt. Darunter fallen zum Beispiel vertrauliche Daten von Kunden, Geschäftspartnern, Lieferanten und Mitarbeitern. Diese dürfen auf keinen Fall verloren gehen oder in falsche Hände geraten.

Mit einem ISO-zertifizierten ECM

• schützen Sie Ihre geschäftsrelevanten Informationen vor Verlust und Missbrauch.
• wahren Sie Ihre Betriebsgeheimnisse.
• stellen Sie den Schutz personenbezogener Daten sicher.

2. Minimierung von Sicherheitsrisiken und -vorfällen

Im Alltag gibt es viele Bedrohungen für die Informationssicherheit. Zum Beispiel können technische Probleme bei IT-Anwendungen wie einem ECM-System zu kostspieligen Betriebsausfällen führen oder Daten gehen durch einen menschlichen Fehler verloren. Auch durch kriminelle Angriffe kann ein hoher finanzieller Schaden entstehen, wenn Systeme gehackt, Daten geleakt oder manipuliert werden.

Mit einem ISO-zertifizierten ECM

• können Sie darauf bauen, dass das System fortlaufend kontrolliert, überwacht und weiterentwickelt wird.
• lassen sich Schwachstellen erkennen, bevor sie zu einer Sicherheitslücke werden.
• beugen Sie Sicherheitsrisiken vor und minimieren diese.
• halten Sie die Auswirkungen von Sicherheitsvorfällen möglichst gering.

3. Vertrauen und Transparenz für Kunden

Die Systemzertifizierung nach ISO 27001 ist ein ganzheitlicher Ansatz, der einen transparenten Einblick in das gesamte Informationssicherheits-Managementsystem voraussetzt. Sie ist auch keine einmalige Angelegenheit, sondern muss regelmäßig auditiert und erneuert werden.

Dieser fortlaufende transparente Optimierungsprozess ist auch ein wichtiger Grundstein, um Vertrauen aufzubauen – sowohl bei Ihren Kunden und Geschäftspartnern als auch in der Öffentlichkeit.

Mit einem ISO-zertifizierten ECM

• zeigen Sie, dass Ihnen Informationssicherheit ein wichtiges Anliegen ist und Sie bereit sind, in die Optimierung Ihrer IT-Systeme zu investieren.
• haben Sie einen glaubwürdigen und objektiven Nachweis über die ISO-Konformität.
• können Ihre Kunden Ihnen guten Gewissens ihre Daten anvertrauen, da sie wissen, dass Sie damit gewissenhaft umgehen.
• verhindern Sie Sicherheitsvorfälle und somit potenzielle Imageschäden.
• erhöhen Sie die Chance, dass sich Kunden vertrauensvoll für Sie (und gegen die Konkurrenz) entscheiden.

4. Einhaltung rechtlicher und regulatorischer Anforderungen

Mit einem ISO-zertifizierten ECM

• erfüllen Sie alle gesetzlichen Anforderungen zur Informationssicherheit.
• halten Sie geltende Branchenstandards ein.
• schaffen Sie die Basis für weitere spezielle ISMS-Standards, beispielsweise das TISAX-Label (Trusted Information Security Assessment Exchange) für die deutsche Automobilindustrie oder die BAIT (Bankaufsichtliche Anforderungen an die IT) für deutsche Kreditinstitute.
• halten Sie sich an die vertraglichen Vereinbarungen mit Ihren Kunden und Geschäftspartnern.

Selbst wenn Sie mit Kunden und Partnern aus stark regulierten Branchen zusammenarbeiten, ist das ISO-zertifizierte ECM ohne weiteren Nachweis und zusätzliche Audits zugelassen.

5. Wettbewerbsvorteil und Marktakzeptanz

Die ISO 27001-Zertifizierung ist mit die wichtigste Cyber-Security-Zertifizierung und hat somit einen hohen Stellenwert auf dem Markt. Durch das steigende Bewusstsein für Informationssicherheit achten viele Unternehmen vermehrt darauf, ausschließlich mit zertifizierten Lieferanten zusammenzuarbeiten.

Mit einem ISO-zertifizierten ECM

• setzen Sie auf einen vertrauenswürdigen Partner.
• können Sie sich Informationssicherheit auf Ihre Fahne schreiben und das Vertrauen in Ihre Marke steigern.
• tragen Sie zu einem positiven Unternehmensimage bei.
• heben Sie sich von der Konkurrenz ab und haben einen entscheidenden Wettbewerbsvorteil.
• laufen Sie nicht Gefahr, durch die Auswirkungen von Sicherheitsvorfällen von Ihren Mitbewerbern abgehängt zu werden.
• bleiben Sie zukunftsfähig.

Neben der ISO 27001 gibt es noch weitere Normen und Zertifizierungen, die für das ECM relevant sind.

SOC 2

SOC 2 (System and Organization Controls) ist wie ISO 27001 ein anerkannter, freiwilliger Standard für die Informationssicherheit. Während die Norm ISO 27001 weltweit in allen Industrien verbreitet ist, wird SOC 2 vor allem von US-amerikanischen Firmen und insbesondere von SaaS-Unternehmen, Cloud-Anbietern sowie im Finanz- und Gesundheitswesen eingesetzt.

Die Grundlage für den Compliance-Standard nach SOC 2 bilden die fünf Prinzipien Datenschutz, Sicherheit, Verfügbarkeit, Vertraulichkeit und Prozessintegrität, die im Rahmen von Audits überprüft werden. Der Auditor ist dabei der amerikanische Berufsverband für Wirtschaftsprüfer AICPA (American Institute of Certified Accountants).

Lesetipp: Mehr zur SOC 2-Zertifizierung erfahren Sie in unserem Blogartikel SOC 2: Das bedeutet die Zertifizierung für sichere Cloud-Lösungen.

Gut zu wissen: Die Doxis Cloud Services sind nach SOC 2 zertifiziert. Damit gewährleistet unsere Software eine hohe Verfügbarkeit und Sicherheit Ihrer Daten in der Cloud.

ISO 16175-2

ISO 16175-2 ist ein internationaler Standard für Records Management. Die Norm legt Grundsätze und Anforderungen an Software-Anwendungen wie Enterprise Content Management Systeme und Dokumentenmanagement-Systeme fest, die die Verwaltung von Aufzeichnungen in elektronischer Form betreffen.

Dazu gehören:

• Richtlinien zur Erfassung und Verwaltung von Informationen
• Definition von Prozessen
• Regeln zur Aufbewahrung und Löschung
• Compliance-gestützte Arbeitsweisen

Gut zu wissen: Doxis ist nach ISO 16175-2 zertifiziert und erfüllt somit alle Anforderungen im Umgang mit aufbewahrungspflichtigen Informationen.

EU-DSGVO

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) regelt die Verarbeitung von personenbezogenen Daten und schafft einheitliche Datenschutzstandards für die Europäische Union.

Die EU-DSGVO formuliert dabei sechs Grundsätze:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
2. Zweckbindung
3. Datenminimierung
4. Richtigkeit
5. Speicherbegrenzung
6. Integrität und Vertraulichkeit

Zusammengefasst heißt das, dass personenbezogene Informationen stets nachvollziehbar, korrekt, zweckgebunden und angemessen verarbeitet und dabei vor unbefugtem Zugriff geschützt werden müssen.

Gut zu wissen: Doxis ist nach EU-DSGVO zertifiziert und erfüllt somit alle datenschutzrechtlichen Anforderungen. Das heißt, Sie können mit Doxis personenbezogene Informationen EU-DSGVO-konform erheben, speichern, verwalten, löschen und teilen.

Ein ISO 27001-zertifiziertes ECM bietet Ihnen eine Reihe von Wettbewerbsvorteilen: Es hilft Ihnen, sich von Mitbewerbern abzugrenzen, das Vertrauen der Kunden zu gewinnen, Sicherheitsrisiken und -vorfälle zu reduzieren und gesetzliche sowie branchenspezifische Anforderungen zu erfüllen.

Mit der Software von SER erhalten Sie ein ECM, das die höchsten Sicherheitsstandards erfüllt. Unser ECM ist sowohl nach ISO 27001, ISO 16175-2 und SOC 2 zertifiziert als auch EU-DSGVO-konform. Viele Kunden aus der Finanzbranche schwören bereits darauf, darunter die Aareal Bank Gruppe, DEVK Versicherungen und die Landesbausparkasse Rheinland-Pfalz. Profitieren auch Sie von unserer zertifizierten Qualität.

* Aufgrund der besseren Lesbarkeit wird im Text das generische Maskulinum verwendet. Weibliche und anderweitige Geschlechteridentitäten werden dabei ausdrücklich mitgemeint, soweit es für die Aussage erforderlich ist