ML6 ist ISO 27001 zertifiziert!
Juni 11, 2021
Rob Vandenberghe

ML6 ist ISO 27001 zertifiziert!

Datensicherheit
Sicherheit

Bei ML6 liegt uns die Sicherheit im Blut. Unser Sicherheitsprogramm ist in alle Geschäftsprozesse eingebettet. Angefangen vom ersten Vertriebskontakt, über die Lieferung eines Proof of Concept, bis hin zur Auslieferung von Produktionsanwendungen.

Um unser Engagement für die Informationssicherheit zu belegen, ist unser Sicherheitsprogramm nach der Norm ISO/IEC 27001:2017 zertifiziert. Dieser international anerkannte Standard stellt Anforderungen an die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung der Informationssicherheit innerhalb einer Organisation.

In diesem Blogpost erklären wir das Warum, Was und Wie hinter unserer ISO 27001-Zertifizierung.

Warum?


Die Entwicklung von robusten ML-Lösungen bedeutet, dass wir einen großen Wert auf Sicherheit legen. Darüber hinaus basieren viele unserer Lösungen auf sehr wertvollen Datensätzen, was ein noch größeres Engagement für die Sicherheit erfordert, vor allem angesichts der ständig steigenden Zahl von Cyberangriffen.

Um unseren Fokus auf Sicherheit und unser Engagement, nicht nur funktionale, sondern auch sichere ML-Lösungen zu bauen, deutlich zu machen, haben wir den Prozess zur ISO 27001-Zertifizierung gestartet.

Was?

ISO 27001 ist ein Standard für Informationssicherheits-Managementsysteme (ISMS). Dieser Standard wird von Experten im Bereich der Informationssicherheit international als die beste Art des Managements von Informationssicherheit anerkannt.

Die Zertifizierung ist jedoch kein Selbstzweck. Das ultimative Ziel unseres ISMS ist es, einen strukturierten und zuverlässigen Ansatz zu haben, um wertvolle Informationen vor allen Arten von Risiken zu schützen. Die Zertifizierung ist nur eine Art und Weise, unseren Kunden, Mitarbeitern, Partnern etc. zu zeigen, dass sie ML6 vertrauen können, mit ihren Daten verantwortungsvoll und sicher umzugehen.

Wie?

Die Implementierung eines ISMS kann auf den PDCA-Kreis von Edwards Deming abgebildet werden. Dieser Kreis wird typischerweise im Qualitätsmanagement verwendet, um Prozesse und Produkte zu steuern und zu optimieren. Die Abbildung der Norm ISO 27001 auf die 4 Schritte des PDCA-Kreises gibt einen klaren Überblick darüber, wie das ISMS die Sicherheit innerhalb von ML6 steuern und kontinuierlich verbessern kann.

Plan

In der Planungsphase müssen Sie zunächst den Kontext der Organisation festlegen. Dieser Kontext umfasst externe und interne Faktoren, die für das ISMS relevant sind. Die Kenntnis des Kontexts hilft, ein klares Verständnis davon zu haben, was die Anforderungen und Ziele für das ISMS sein werden, wer beteiligt werden muss, welche Ressourcen benötigt werden usw.

Nach der Identifizierung des Kontexts verlangt die Norm, die für die Organisation relevanten Informationssicherheitsrisiken zu identifizieren und zu bewerten. Die im Kontext der Organisation definierten internen und externen Faktoren dienen als Input für die Risikobewertung.

Sobald die Risikobewertung abgeschlossen ist, definiert die Organisation einen Risikobehandlungsplan, um die Risiken auf ein akzeptables Niveau zu reduzieren.

Do

Der Do-Schritt besteht aus der Ausführung des Risikobehandlungsplans zur Reduzierung von Sicherheitsrisiken in verschiedenen Bereichen der Organisation wie Personalwesen, Asset Management, Lieferantenmanagement, Softwareentwicklung, Compliance, Zugriffskontrolle usw. Die ISO-Norm schlägt 114 Kontrollen vor, die zur Risikominderung implementiert werden können.

Hier war es für ML6 wichtig, bürokratische Prozesse zu vermeiden, die die Flexibilität und Agilität bei einem Scale-up einschränken.

Vor allem für unsere Entwicklungsteams war dies ein wichtiger Punkt der Aufmerksamkeit. Kunden wollen mit ML6 zusammenarbeiten, weil wir Projekte schnell, effektiv und effizient liefern können, und nicht, weil wir 10 Tage und 30 Mails brauchen, um eine grundlegende Infrastruktur einzurichten, bevor das Projekt tatsächlich beginnen kann.

Unser Ansatz ist es, dafür zu sorgen, dass der sichere Weg der einfachste Weg ist, indem wir uns bei all unseren internen Werkzeugen & Boilerplates an die Best Practices für Sicherheit halten. Alle unsere Abteilungen [ Blogpost : Organisieren Sie Ihr Team für Innovation ] sind konsequent bestrebt, unsere Agenten so effektiv wie möglich zu machen, indem sie Bausteine oder Boilerplates für verschiedene Arten von ML-Herausforderungen bereitstellen. Dass diese die Best Practices von Infrastructure as Code nutzen & die strengen Organisationsrichtlinien von Google Cloud einhalten, hat zur Folge, dass unsere gemeinsame Codebasis nicht nur der beste Weg ist, um neue Projekte zu starten, sondern auch der sicherste und einfachste Weg, da die Best Practices für Sicherheit bereits enthalten sind.

Prüfen Sie

Nach der Implementierung der risikomindernden Maßnahmen ist es wichtig zu verfolgen, ob die ergriffenen Maßnahmen bei der Reduzierung der Sicherheitsrisiken tatsächlich wirksam sind und ob das gesamte ISMS wie erwartet läuft.

Die Überwachung von Informationssicherheits-KPIs kann helfen, die Leistung des ISMS zu messen und ob die Sicherheitsziele erreicht werden.

Ein internes Audit ist eine gute Möglichkeit, um zu überprüfen, ob das ISMS dem ISO 27001-Standard entspricht und ob die internen Richtlinien und Verfahren eingehalten werden.

Die Norm verlangt auch, dass das Management an der Überprüfungsphase beteiligt ist. Das Management sollte das ISMS der Organisation überprüfen, um seine fortwährende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.

Gesetz

Das Ziel der Check-Phase ist es, Punkte aufzuzeigen, an denen das ISMS die ISO-Normen nicht erfüllt oder die Informationssicherheitsrisiken nicht reduziert hat.

In der Act-Phase können Korrekturmaßnahmen zur weiteren Verbesserung des ISMS definiert werden. Diese Maßnahmen werden sich in einer Aktualisierung des Kontextes der Organisation und der Risikobewertung niederschlagen.

Damit sind wir wieder in der Phase Plan und damit schließt sich der PDCA-Kreis. Auf diese Weise hat ML6 einen kontinuierlichen Verbesserungszyklus für das Management der Informationssicherheit eingerichtet.

Haben Sie Fragen oder möchten Sie mehr Informationen zu unserer Zertifizierung erhalten? Unser Head of Security, Rob Vandenberghe, hilft Ihnen gerne weiter.

dpo@skyhaus.com


Verwandte Beiträge

Möchten Sie mehr erfahren?

Wir unterhalten uns gerne mit Ihnen.
Kontakt