Mehr Kunden mit ISO-Zertifikat

Remo Hiltebrand ist Managementsystem-Beauftragter ISO 9001 / ISO 27001 / ASI bei der DocumentServices AG

Trotz des Trends zu immer mehr digitalisierten Prozessen steht am Ende der Kette fast immer ein Papierdokument. Unternehmen mit einem grossen Output-Volumen wie Banken, Krankenkassen, Versicherungen oder Telekom-Unternehmen setzen dafür meist auf den Service spezialisierter Dienstleister. Die Veredelung von Daten, das Layouting nach Vorgaben der Corporate Identity sowie der Versand der Briefe, zählen zum Kerngeschäft der DocumentServices AG, einer Tochter der Schweizerischen Post. Das Dienstleistungsportfolio umfasst auch die Logistik und das Materialmanagement für die Kunden.

Hohe Sicherheitsstandards sind in diesem Geschäft ein Muss. Bei Verhandlungen mit potenziellen Neukunden zeigte sich, dass der hohe Sicherheitsstandard für einige Kunden noch nicht hoch genug war. Denn der Output-Dienstleister verarbeitet auch Bankeninformationen. Das Schweizer Bankengesetz schreibt in diesem Umfeld spezifische Richtlinien vor, die sich an ISO 27001 orientieren. Das soll die höchstmögliche Sicherheit der sensiblen Daten gewährleisten. Serviceunternehmen müssen darum verschiedene Kontroll- und Prüfpunkte erfüllen, wenn sie in der Bankenwelt Fuss fassen wollen. Zwar hat der Dienstleister die freie Wahl, ob er sich diesen Richtlinien unterwerfen will. Klar ist aber auch: Man akquiriert aus diesem Bereich keine Kunden, wenn man sie nicht erfüllt. Die DocumentServices AG entschied sich deshalb, ein Informations-Sicherheits-Management-System (ISMS) nach ISO 27001 einzuführen.

Ziel war es, das Projekt mit der ISO-27001-Zertifizierung durch die Schweizerische Vereinigung für Qualitäts- und Management-Systeme (SQS) abzuschliessen und in das bestehende Managementsystem (nach ISO 9001:2000) sowie in die Unternehmensstrukturen zu integrieren. Auf der Suche nach einer geeigneten Lösung entschied sich die Unternehmensleitung, das neue System zusammen mit Integralis zu implementieren. Die Informationssicherheits-Spezialisten überzeugten mit einer ISMS-Toolbox, die bereits Templates, Prozeduren und Tools zum Aufbau eines zertifizierbaren Informations-Sicherheits-Management-Systems einschliesst. So konnte bei der Projektumsetzung viel Zeit gespart werden. Das neue Sicherheitssystem sollte ein verbessertes Qualitätsmanagement, optimierte Methoden zur Ermittlung und Prüfung der Datensicherheit und des Datenschutzes, erweiterte Zutrittssicherheit sowie ein differenziertes Identifizierungsmanagement bieten.

Begonnen hatte das Projekt bereits im Jahr 2006, es musste aber wegen einer anderen Zertifizierung sowie des Aufbaus und der Inbetriebnahme zweier neuer Produktionsstätten unterbrochen werden. Erst 2008 konnte es weitergeführt und ungestört zu Ende gebracht werden. Das Consulting-Team von Integralis unterstützte das IT-Team vor Ort dabei in jeder Phase. Die Projektplanung wurde gemeinsam erstellt. Seitens der DocumentServices AG waren unterschiedliche Ansprechpartner in das Realisierungsteam integriert, Vertreter der Geschäftsleitung ebenso wie Asset-Owner mit ihren im System verankerten Verantwortlichkeiten.

Zusammen mit dem Beratungspartner skizzierten die Mitarbeiter verschiedene Bedrohungsszenarien und etablierten ein ausgefeiltes Risikomanagement. Das erforderte bei jedem Projektschritt viel Feinarbeit. Im Juni 2008 erfolgte dann die Zertifizierung durch die SQS. Diese gilt für die nächsten drei Jahre, danach wird ein neues Audit nötig.

Das ISMS deckt heute alle Unternehmensbereiche ab, wobei sämtliche Forderungen von ISO 27001 berücksichtigt werden. Das beginnt bei der sorgfältigen Überprüfung neuer Mitarbeiter im Vorfeld einer Einstellung, geht über eine differenzierte Zutrittskontrolle, ein ausführliches Assetregister und neue Prozesse zur Risikoanalyse und Business-Continuity-Planung und hört bei der IT-Sicherheit auf.
Beim Zertifizierungslauf unterbreiteten die Auditoren zusätzliche Verbesserungsvorschläge, die über die normalen Forderungen hinaus gingen. Da diese aber einen deutlichen Mehrwert für den Sicherheitsstandard versprachen, wurden auch diese umgesetzt. Dass die DocumentServices AG damit über den Grundforderungen von ISO 27001 liegt, macht sie für Kunden mit sensitiven Informationen wie
Krankenkassen, Versicherungen oder Banken noch interessanter.

Die Zusammenarbeit mit den Integralis-Mitarbeitern verlief aus Kundensicht erfreulich. Während der gesamten Projektphase war die Betreuung intensiv und gut. Darüber hinaus wurden durch das ISMS-Projekt die eigenen Mitarbeiter noch mehr für das Thema Datenschutz und Datensicherheit sensibilisiert. Nicht zuletzt profitieren die Kunden vom neuen ISMS: Sensible Daten sind vor Angriffen, Manipulationen und Verlusten in hohem Masse geschützt. Durch die schon vorher bestehende Zertifizierung nach ISO 9001 hat sich die DocumentServices AG zusätzlich verpflichtet, permanent an der Weiterentwicklung und Qualitätsverbesserung zu arbeiten, um seinen Kunden ein umfassendes Sicherheitskonzept zu bieten, das stets auf dem aktuellen Stand der Technik ist.