News

Für weitere drei Jahre zertifiziert

Das Informationssicherheits-Managementsystem der cloudscale.ch AG ist seit 2019 zertifiziert. Geprüft werden wir jeweils nach der Norm ISO/IEC 27001, die sich mit "Informationssicherheit" ganz allgemein befasst und die von Organisationen praktisch aller Grössen und Branchen umgesetzt werden kann, sowie nach den Normen ISO/IEC 27017 und ISO/IEC 27018, die ergänzende Controls zu Cloud Services bzw. personenbezogenen Daten in Public Clouds enthalten.

Die Zertifizierung ist jeweils auf 3 Jahre befristet und verlangt zudem sogenannte Überwachungsaudits in jährlichem Abstand. Nach der Erstzertifizierung im Jahr 2019 hatten wir 2022 die erste Rezertifizierung erfolgreich bestanden, plus jeweils ein Überwachungsaudit in den anderen Jahren. 2025 war nun erneut eine Rezertifizierung fällig und wir freuen uns, dass wir unseren Status nahtlos aufrechterhalten konnten. Das neue Zertifikat mit Gültigkeit bis 2028 ist auch zum Download verfügbar.

Die neue Norm ISO/IEC 27001:2022

Das Rezertifizierungs-Audit fiel diesmal noch etwas umfangreicher aus als sonst: Wir wurden erstmals nach der neuen Norm ISO/IEC 27001:2022 geprüft, die "Informationssicherheit" noch umfassender betrachtet als die zuvor gültige ISO/IEC 27001:2013. Die neue Norm gibt 93 sogenannte Controls vor, die in Betracht gezogen und – sofern keine wirklich guten Gründe dagegen sprechen – auch umgesetzt werden müssen. Dies sind zwar weniger als früher, jedoch sind keine Controls weggefallen, sondern sie wurden zum Teil einfach in einer neuen Formulierung zusammengefasst und in den Kategorien "Organisatorische Massnahmen", "Personenbezogene Massnahmen", "Physische Massnahmen" und "Technologische Massnahmen" neu geordnet.

Zu den bisherigen, teils neu formulierten Controls kamen auch gänzlich neue hinzu, so etwa in Bezug auf "Business-Continuity" und "Konfigurationsmanagement". Hier zahlte es sich einmal mehr aus, dass Informationssicherheit schon immer zur DNA von cloudscale gehört hat: Viele der von der Norm neu gestellten Anforderungen hatten wir in unserer täglichen Arbeit schon bisher mit abgedeckt. Nicht geändert haben sich die beiden anderen, Cloud-spezifischen Normen (ISO/IEC 27017:2015 und ISO/IEC 27018:2019), deren Controls im Audit ebenfalls mit geprüft wurden.

Kontinuierliche Verbesserung inklusive

Auch in der neuen Norm-Version unverändert zentral – und bei cloudscale eine Selbstverständlichkeit – ist die kontinuierliche Verbesserung. Die Prozesse des ISMS müssen dahingehend ausgestaltet sein, dass Schwachstellen und Potenziale entdeckt und Verbesserungsmassnahmen umgesetzt werden. Dies passt perfekt zu der Art, wie wir bei cloudscale arbeiten und (z.B. mit Automatisierung, Monitoring und Redundanzen) auch die Informationssicherheit laufend weiter stärken. Entsprechend zuversichtlich sehen wir folglich den Überwachungsaudits entgegen, die während der Laufzeit des Zertifikats bis 2028 auf uns zukommen werden.

Ebenfalls jährlich, aber von "ISO" komplett unabhängig, werden wir übrigens für unseren ISAE-3000-Bericht auditiert. Dabei handelt es sich nicht um eine Zertifizierung, sondern um die Prüfung von spezifischen Controls, die einige Kunden – insbesondere in regulierten Branchen – bei ausgelagerten Prozessen für ihr internes Reporting benötigen. Bei Bedarf stellen wir diesen Kunden den Bericht auf Anfrage gerne zur Verfügung.

Audits sind eine Prüfung und als solche eher Pflicht als Vergnügen. Ein Dank gilt hier auch unserer Zertifizierungsstelle Swiss Safety Center AG, die uns seit unserer Erstzertifizierung in konstruktiver Zusammenarbeit begleitet. Und natürlich freuen wir uns, dass wir mit der nahtlosen Erneuerung unserer ISO-27001-Zertifizierung nach aussen zeigen können, was uns das ganze Jahr über am Herzen liegt: Die Sicherheit – umfassend verstanden als Vertraulichkeit, Integrität und Verfügbarkeit – deiner Daten.

Internationale Standards, Schweizer Sorgfalt.
Dein cloudscale-Team