News
ZurückZertifiziert nach ISO 27001, 27017 und 27018
Das Thema Informationssicherheit erhält in der öffentlichen Wahrnehmung zunehmend Gewicht, und immer mehr Cloud-Anwender möchten ihre Daten in guten Händen wissen – dabei spielen unabhängige Zertifikate wie ISO 27001 eine zentrale Rolle. Mit ihrer erfolgreichen Zertifizierung entspricht die cloudscale.ch AG dem Bedürfnis nach geprüfter Informationssicherheit. Im Folgenden geben wir einen kleinen Einblick in dieses wichtige Thema:
Was ISO 27001, 27017 und 27018 eigentlich ist
Seien es Papierformate, Glühbirnen oder Lebensmittelsicherheit: Oft unbemerkt sorgen Normen im Hintergrund für ein reibungsloses Funktionieren in allen Lebensbereichen. Die Normen der ISO-27000er-Reihe sind die bekanntesten im Bereich der Informationssicherheit, welche nebst Vertraulichkeit von Informationen auch deren Integrität und Verfügbarkeit umfasst. Nach ISO zertifiziert wird dabei nicht ein konkretes Produkt, sondern ein Unternehmen bzw. dessen Managementsystem, das die Informationssicherheit gewährleisten soll.
ISO/IEC 27001:2013 definiert ein Set von 114 sogenannten Controls und damit eine Liste mit Anforderungen zu allen möglichen Aspekten der Informationssicherheit, die es umzusetzen gilt. Wie dies konkret geschieht, entscheidet dabei jedes Unternehmen individuell – die Norm ist bewusst offen gehalten, so dass Organisationen aller Grössen und Branchen sie umsetzen können. Bei uns als Public-Cloud-Anbieter haben wir die Norm daher mit dem entsprechenden Fokus auf Infrastructure-as-a-Service (IaaS) implementiert.
In unserem Fall war es naheliegend, gleichzeitig zwei weitere Normen umzusetzen: Im Unterschied zur universell anwendbaren ISO 27001 befasst sich ISO 27017 spezifisch mit Cloud-Diensten und definiert eine Reihe von zusätzlichen Controls, die für Cloud-Anbieter und -Anwender relevant sind. ISO 27018 wiederum widmet sich dem Schutz personenbezogener Daten (PII: Personally Identifiable Information) in Public Clouds – ein Thema, das vor allem durch die EU-DSGVO verstärkte Aufmerksamkeit erhalten hat. Die cloudscale.ch AG hat sich auch nach diesen beiden Normen (ISO/IEC 27017:2015 und ISO/IEC 27018:2019) erfolgreich auditieren lassen.
Sie finden alle Zertifikate auf unserer Website oder direkt unter:
- https://www.cloudscale.ch/de/iso-27001-zertifikat.pdf
- https://www.cloudscale.ch/de/iso-27017-27018-zertifikat.pdf
Wie sich unser Weg zur Zertifizierung gestaltete
Rückblickend können wir sagen, dass sich unser Alltag durch die Einführung eines Informationssicherheits-Managementsystems (ISMS) und dessen Zertifizierung nicht stark verändert hat. Der Sicherheitsgedanke war schon immer Teil unserer DNA und die meisten Massnahmen zur Wahrung der Informationssicherheit sind bei uns bereits seit Jahren gelebte Praxis. Schon länger wurde jedoch deutlich, dass unseren Kunden die durchgehende Zertifizierung der gesamten Lieferkette wichtig ist. Der Entscheid für die offizielle Zertifizierung nach ISO 27001 fiel dann vor rund 1.5 Jahren. In der Folge holten wir uns externes Know-how für diesen Prozess.
Das eigentliche "ISO-Projekt" startete im Frühling 2018 mit einer Reihe von Workshops zusammen mit unserem Berater, Dieter Roth, und einem Satz an Vorlagen für das ISMS. Die harte Arbeit folgte dann, als es darum ging, die generischen Dokumente an unsere Realität anzupassen (und, zugegebenermassen, ein kleines bisschen auch in umgekehrter Richtung). Unser dokumentiertes ISMS sollte ja Vorgaben und Prozesse so widerspiegeln, wie wir sie für unsere tägliche Arbeit als angemessen erachten. Von Vorteil war natürlich, dass unsere Datacenter bereits ISO-27001-zertifiziert waren, wodurch wir uns in diesem Bereich eigene Regelungen sparen konnten.
Der Zertifizierungs-Audit schliesslich – eine Art Prüfungssituation – verlief überraschend angenehm. Es galt dabei, an drei Tagen einem unabhängigen Experten Red' und Antwort zu stehen sowie diverse Nachweise zu erbringen. Wir spürten, dass der Auditor von Swiss Safety Center unser Geschäft versteht, und für ihn war schnell klar, weshalb wir die Dinge so tun, wie wir sie tun. Dass dann im ganzen Audit keine einzige Abweichung festgestellt wurde, hatten wir natürlich nicht zu hoffen gewagt. Umso mehr bestärkt uns dieses Ergebnis in unserer Sicherheitskultur, die unsere Arbeit von Anfang an prägte.
Welche nächsten Schritte nun vor uns liegen
Die Erstzertifizierung ist ein langersehnter Meilenstein und für viele unserer Kunden eine Bestätigung für das Vertrauen, das sie von Anfang an in uns gesetzt haben. Eine zentrale Anforderung der ISO/IEC 27000er-Normen ist aber auch die kontinuierliche Verbesserung, die fest im ISMS verankert sein muss. Nicht nur die Sicherheitsvorkehrungen, sondern auch sämtliche Prozesse müssen immer wieder geprüft und weiterentwickelt werden. Eine regelmässige Kontrolle erfolgt in jährlichen, intern durchgeführten Audits und in ebenfalls jährlichen, externen Überwachungs- bzw. Rezertifizierungs-Audits durch die Zertifizierungsstelle.
Natürlich fliesst der Sicherheitsgedanke auch in all unsere künftigen Projekte ein. Als Beispiele erwähnt seien hier die Inbetriebnahme eines weiteren Schweizer Datacenter-Standorts, der unseren Kunden geo-redundante Setups ermöglicht ( Verfügbarkeit), die Umstellung unseres Ceph-Clusters auf BlueStore, welches über integrierte Prüfsummen verfügt ( Integrität) sowie die Festplatten-Verschlüsselung unserer Storage-Server ( Vertraulichkeit).
Informationssicherheit war von Anfang an ein zentrales Anliegen von cloudscale.ch, und Gespräche mit unseren Kunden bestätigen uns deren Stellenwert immer wieder aufs Neue. Nicht ohne Stolz sehen wir die erfolgreiche Zertifizierung nach ISO 27001, ISO 27017 und ISO 27018 als Anerkennung für unseren Einsatz und als Motivation, den eingeschlagenen Weg weiter zu gehen.
Mit Brief und Siegel,
Ihr cloudscale.ch-Team