Es ist amtlich – die AUDITTRAILS Networks GmbH hält seit dem Jahr 2023 die Zertifizierung nach DIN EN ISO/IEC 27001 (Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen) und gehört damit zu den wenigen zertifizierten Anbietern digitaler Managementsystem-Frameworks in Deutschland.
Die Erfahrungen, die wir in unserem Zertifizierungsverfahren gesammelt haben und darüber hinaus im laufenden Betrieb sowie den Überwachungsaudits machen, geben wir in Form unserer Software-Frameworks AUDITTRAILS-ISMS, AUDITTRRAILS-27001 und AUDITTRAILS-TISAX sowie der zugehörigen spezifischen Dokumentvorlagen an unsere Kunden weiter, die damit ihr eigenes effizientes Informationssicherheits-Managementsystem (ISMS) aufbauen können.
Unsere Kunden, die für ihr Labor eine Akkreditierung nach DIN EN ISO/IEC 17025 oder DIN EN ISO 15189 halten oder diese anstreben, setzen ihr Managementsystem mit unseren Software-Frameworks AUDITTRAILS-17025 und AUDITTRAILS-15189 ebenfalls nach höchsten Standards der Cyber-Security um und erfüllen gleichzeitig die Anforderungen der Norm in Bezug auf die Informationssicherheit im Unternehmen.
Zertifizierter Scope der AUDITTRAILS Networks GmbH
Die DIN EN ISO/IEC 27001 legt die Anforderungen an Aufstellen, Umsetzen, Betrieb, Überwachung, Bewertung, Wartung und Verbesserung von dokumentierten Informationssicherheit-Managementsystemen in Bezug auf die allgemeinen Geschäftsrisiken einer Organisation fest. Sie definiert außerdem die Anforderungen an die Einführung von Sicherheitskontrollen, die auf die Bedürfnisse einer Organisation (oder Teilen davon) zugeschnitten sind. Unser Zertifikat deckt dabei folgenden Scope ab und trifft damit die zentralen Anforderungen unserer Kunden:
Produktdesign, Konzeption, Bereitstellung und Betrieb webbasierter Software zur Digitalisierung von Geschäftsprozessen und Managementsystemen sowie Schulung und Beratung zur Erlangung und Aufrechterhaltung von Zertifizierungen und Akkreditierungen.
Als wir 2020 mit der Mission starteten, effiziente digitale Managementsysteme zur ressourcensparenden Erlangung und Aufrechterhaltung von Normkonformität verschiedener Art bereitzustellen, war uns eines klar:
Das, was wir unseren Kunden ermöglichen möchten, ist mitunter ein harter, steiniger Weg. Eine Zertifizierung (Konformitätsbestätigung) oder gar Akkreditierung (Konformitäts- und Kompetenzbestätigung) ist mit viel Aufwand, Kompetenzbedarf und Vorbereitungszeit verbunden.
Für uns bedeutet dies, dass auch wir selbst allerhöchste Ansprüche erfüllen müssen – wie sonst könnten wir unseren Kunden vermitteln, worauf es beim eigenen Managementsystem ankommt? Daher haben wir uns entschlossen, nicht nur unseren Kunden bei der Normkonformität zu helfen, sondern unser eigenes ISMS mit unserem eigenen Framework aufzubauen und anschließend zertifizieren zu lassen.
Unsere Zertifizierung – der Proof-of-Concept
Unsere Kunden stehen bei uns im Mittelpunkt – deswegen bieten wir an, was wir auch selbst nutzen und geeignet finden. Unsere Produkte und Leistungen sollen sich zu 100% am praktischen Nutzen orientieren sowie einfach und intuitiv handhabbar sein. Aus diesem Grund haben wir unser Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001 in unserem eigenen Managementsystem-Framework AUDITTRAILS-27001 aufgebaut. Die Erfahrungen, die wir selbst dabei machen durften (und zukünftig machen werden), haben unmittelbaren Einfluss auf die Weiterentwicklung unserer Plattform – beispielsweise um zügig auf neue Anforderungen oder eine ggf. geänderte Audit-Praxis zu reagieren und so das Produkt stets up-to-date zu halten.
Im Rahmen unseres Zertifizierungsverfahrens haben wir unserem Zertifizierungs-Auditor sowohl im Phase-1-Audit als auch im Zertifizierungsaudit temporären Zugriff auf unsere ISMS-Plattform ermöglicht. Dies hat die Effizienz unserer Begutachtung enorm gesteigert, was auch durch unseren Zertifizierungs-Auditor bestätigt wurde:
„Ich habe schon viele Lösungen für die digitale Abbildung von Managementsystemen gesehen, aber was Ihr da gebaut habt, ist echt sehr praxisorientiert. Ich habe mich als Zertifizierungs-Auditor durch die gute, normbasierte Strukturierung sofort zurecht gefunden, sodass die Dokumentprüfung sehr einfach möglich war. Der temporäre Zugriff auf das Managementsystem hat für mich als Auditor durch die ermöglichte Remote-Dokumentprüfung sehr zur Effizienz des Audits beigetragen.“Manfred Grühn, ISO 27001 Lead-Auditor
Für die auditierten ISMS-Inhalte (Personalmanagement, Kompetenzmanagement und Kompetenzmatrix, Dokumentmanagement, Risikomanagement, Prozessmanagement, RACI-Matrix, Maßnahmenmanagement uvm.) konnte die Konformitätsüberprüfung sehr einfach durchgeführt werden. Das Auffinden von Nachweisdokumenten geschah dabei binnen weniger Sekunden.
Für uns ist klar: Das effiziente Zertifizierungsaudit und das Statement unseres Zertifizierungs-Auditors war der zentrale Proof-of-Concept, dass unsere Herangehensweise die Richtige ist und wir auf dem Weg zur sinnvollen digitalen Transformation von Zertifizierungs- und Akkreditierungsprojekten den richtigen Pfad gewählt haben.Überzeugt? Vereinbaren Sie JETZT eine kostenfreie Software-Demo und einen unverbindlichen Beratungstermin!
So profitieren Sie von unserer ISO 27001-Zertifizierung
Wir haben unsere Zertifizierung umgesetzt um sicher zu werden – und gleichzeitig auch, um unseren Kunden zusätzliche Mehrwerte zu liefern. So können auch Sie von unserer ISO 27001-Zertifizierung als Kunde profitieren:
1. Für Ihre eigene ISO 27001-Zertifizierung oder Ihr TISAX®-Assessment benötigen Sie kein Lieferantenaudit bei uns!
In vielen Branchen ist inzwischen die ISO 27001-Zertifizierung bzw. die Einführung und Aufrechterhaltung eines ISMS verpflichtend (z.B. Organisationen in kritischer Infrastruktur). Für Automobilzulieferer ist ein erfolgreiches TISAX®-Assessment verpflichtend. Wenn Sie zu einem Unternehmen gehören, das die Anforderungen der ISO 27001 und/oder TISAX® erfüllen muss, müssen Sie dafür Sorge tragen, dass sich Ihre Lieferanten wiederum auch entsprechend um Informationssicherheit kümmern und dies regelmäßig überprüfen (ISO 27001 – A.15.2.1). Wir selbst setzen diese Anforderung um, indem wir unsere Lieferanten und Dienstleister zur ISO 27001-Zertifizierung verpflichten, das Vorhandensein der Zertifikate regelmäßig überprüfen und diese unter Berücksichtigung des Anwendungsbereiches in unserem Managementsystem ablegen. Dazu zählen auch unsere Entwicklungspartner und Cloud-Service Provider sowie die Dienstleister, die unsere Kundensysteme hosten.
Mit diesem Vorgehen qualifizieren Sie uns in Ihrer Lieferantenbewertung sehr schnell als neuer Lieferant und erfüllen auch Ihre Sorgfaltspflicht zur Verwendung zertifizierter Lieferanten. So wie wir uns auf zertifizierte Lieferanten verlassen, können Sie sich auf die AUDITTRAILS Networks GmbH als zertifizierter Lieferant verlassen – mit einem bequemen Prozess und zukunftssicher.
Das machen andere auch? ACHTUNG!
Sicher haben Sie in der ein oder anderen Lieferantenbewertung Ihre Software-Dienstleister bereits auf Daten- und Informationssicherheit, Datenschutz sowie den ausfallsicheren Betrieb angesprochen und die Antwort erhalten: „Darauf legen wir großen Wert, deshalb nutzen wir zur Bereitstellung unserer Services zertifizierte Cloud-Service-Provider.“ Ihre Lieferanten verweisen also darauf, dass ihr Produkt in zertifizierten Rechenzentren betrieben wird. Bitte beachten Sie, dass Ihr Lieferant selbst NICHT zertifiziert ist und damit ggf. insbesondere für die Prozesse „Konzeption und Entwicklung“ keine Sensibilisierung für Informationssicherheit und mögliche Risiken existiert. Nicht nur der Cloud-Provider, sondern auch der Software-Lieferant muss die Informationssicherheit auf einem hohen Niveau halten, um die gesamte Wertschöpfungskette informationssicher zu gestalten. Einem Angreifer reicht schließlich ein einziges Schlupfloch, um an Ihre Informationswerte zu gelangen.
Umgekehrt gilt dies für Lieferanten, die zwar zertifiziert sind, Ihnen Ihre Lösung aber „on-premise“ (Software, die auf Ihren eigenen Servern betrieben wird) zur Verfügung stellen – hier nützt es Ihnen nur bedingt, wenn ihr Lieferant zertifiziert ist, da Ihre Lösung aber bei Ihnen in einer aufwändig selbst zu sichernden bzw. ggf. unsicheren IT-Infrastruktur betrieben wird. Die Kette derjenigen, die die Prinzipien der Informationssicherheit einhalten, muss ununterbrochen und stetig sein. Betreiben Sie „on-premise“-Lösungen, so müssen Sie selbst für Informationssicherheit, Verfügbarkeit, Back-ups, Authentifizierung und Autorisierung etc. sorgen – und zwar für jede einzelne auf diese Weise implementierte Lösung.
2. Security-by-design
Wir haben uns durch die Zertifizierung nicht nur die Konformität bestätigen lassen, um nachzuweisen, dass wir im Unternehmen nach einheitlichen Richtlinien arbeiten und technische sowie organisatorische Maßnahmen für höchste Informationssicherheit etabliert haben – wir leben unsere Prinzipien auch im Rahmen unserer Software-Entwicklung und geben diese an unsere Kunden weiter. In allen Aspekten profitieren Sie als unser Nutzer dabei auch im Hinblick auf Ihre eigene Informationssicherheit.
Unsere AUDITTRAILS-Plattform bietet für alle managementsystemrelevanten Dokumentationsanforderungen entsprechende Module:
- Personalverwaltung und Kompetenzmanagement
- Rollen- und Berechtigungsmanagement
- Prüfmittelmanagement inkl. Nachweisführung zur metrologischen Rückführbarkeit
- Kalibriermanagement
- Wartungsmanagement
- Dokumentgenerierung und -lenkung inkl. Schutzklassenbestimmung und Vertraulichkeitssteuerung
- Maßnahmenmanagement
- Management von Risiken- und Chancen
- Schulungsmanagement
- Lenkung von Aufzeichungen
- etc.
Um all diese dokumentierte Information in Ihrem Unternehmen mit Bordmitteln oder Software-Insellösungen zu managen, ist massiver Aufwand notwendig: Sie legen Zugriffsrechte auf Speicherorte und Software-Systeme fest, administrieren zentrale User-Managementsysteme und legen Zugriffslevel fest, erstellen und lenken unzählige Excel-Lösungen, verwalten und lenken diese, Sie lassen Software warten / modifizieren und investieren in neue Insellösungen uvm. Am Ende muss jedes Detail umfangreich dokumentiert sein, alle Daten müssen der jeweiligen Schutzklasse entsprechend im Zugriff stehen und ordnungsgemäß gesichert, verschlüsselt und vor fremdem Zugriff geschützt sein – auf allen Ebenen der Unternehmensprozesse. Effizienz bleibt dabei gerne auf der Strecke.
Die AUDITTRAILS-Plattform stellt Ihnen hierfür den vollständigen Umfang aller zum digitalen Managementsystem notwendigen Bausteine zur Verfügung, die Sie benötigen, um ein normkonformes Managementsystem mit minimalem Ressourceneinsatz zu etablieren. Unser security-by-design Ansatz stellt für Sie folgende Aspekte sicher:
- Authentifizierung durch state-of-the-art Authentifizierungs-Gateways, die auf Basis von Standard-Protokollen arbeiten. Wir unterstützen OAuth 2.0, OpenID Connect und SAML 2.0 – eine Mehrfaktorauthentifizierung ist Standard.
- Autorisierung durch ein auf fachlichen Rollen basierendes Berechtigungssystem. Vergleichbar mit der Blockchain-Technologie wird für jeden Klick, den ein User in der Software macht, eine Anfrage an das Berechtigungssystem gesendet. Dort wird validiert, ob der User noch über die angeforderte Berechtigung verfügt. Kommt ein valider Token zurück, so bekommt der User die angeforderten Daten angezeigt. Ist der Token ungültig, wird die Anfrage abgelehnt. Zudem stellen Sie durch unser Informations-Klassifizierungs-Konzept sicher, dass dokumentierte Informationen nur von Personen einsehbar sind, die eindeutig befugt sind.
- Tägliche Back-ups – 90 Tage rückwirkend: Täglich wird ein Backup erstellt, das 90 Tage in die Vergangenheit zeigt.
- Geo-redundante Datensicherung: die Back-ups werden mehrfach an geo-redundanten Standorten gesichert. Die Standorte der Datensicherung sind mehrere hundert Kilometer voneinander entfernt. Im Falle einer Naturkatastrophe soll dies vor Verlust und Gefährdung der Datenträger schützen.
- Verschlüsselte Back-ups: Die Backups werden verschlüsselt gespeichert und können nicht kompromittiert werden. Die Widerherstellung ist nur durch autorisiertes Personal aus einem autorisiertem Netzwerk möglich. Sofern Zugriffe aus anderen Netzwerken versucht werden, wird dies vollumfänglich verhindert.
- Umfassendes Monitoring: Ihre Serverlast steigt aufgrund zunehmender Daten oder steigender Zugriffe? Kein Problem – wir haben Ihr System im Blick und registrieren jegliche Anomalität Ihres Systems. In diesem Zusammenhang erweitern wir Speicherkapazitäten oder erhöhen die CPU-Performance Ihres Mandanten auf Knopfdruck – ohne Aufpreis für Sie.
- Penetrationstests: Ihr Mandant wird in regelmäßigen Zyklen Penetrationstests unterzogen, die eventuelle Sicherheitslücken in Bezug auf Cross-site-scripting, Code-Injection oder anderer Angriffsvektoren aufdecken sollen. So konnten wir in der Vergangenheit die Sicherheit unserer Anwendung nochmals verbessern.
- Audit-Trail: Jede Änderung am Datenbestand Ihres Mandanten unterliegt strengster Überwachung durch unser Autorisierungskonzept, sodass Änderungen nur von autorisiertem Personal durchgeführt werden können. Zusätzlich wird jede Änderung in unserem Audit-Trail niedergeschrieben und mit einem Zeit- und Namensstempel sowie einem Transaktionscode versehen.
Zusammenfassend kann man sagen: Durch den Einsatz der AUDITTRAILS-Plattform sparen Sie erheblichen (Personal-) Aufwand zur Sicherstellung umfassender Aspekte der Informationssicherheit in Ihren Prozessen. Sie verlagern nicht nur Ihre Prozesse und Daten in eine wirklich sichere Cloud, sondern stellen gleichzeitig sicher, dass das ALCOA-Prinzip stets gewahrt bleibt. Dieses beschreibt die wichtigsten Anforderungen an die Datenintegrität und fordert von Daten folgende Eigenschaften:
Attributable (Zuordenbar)
Legible (permanent lesbar)
Contemporaneous (aktuell)
Original (in originaler Form)
Accurate (richtig)
3. Sie streben eine NIS-2 Konformität, eine Zertifizierung nach DIN EN ISO/IEC 27001 oder ein erfolgreiches Assessment nach TISAX® mit hoher Ressourceneffizienz an
Durch unsere Best Practices aus der eigenen Zertifizierung und der Erfahrung aus zahlreichen – auch globalen – Kundenprojekten können wir Sie in Ihrem eigenen Zertifizierungsvorhaben effektiv unterstützen.
Gleichzeitig benötigen viele Unternehmen eine Normkonformität in mehreren Bereichen – beispielsweise eine Labor-Akkreditierung nach DIN EN ISO/IEC 17025 sowie ein TISAX®-Label. Auch Unternehmen in kritischer Infrastruktur, wie z.B. Lebensmittel- oder Trinkwasserlabore, benötigen sowohl die Akkreditierung nach DIN EN ISO/IEC 17025 als auch ein etabliertes Informationssicherheits-Managementsystem nach DIN EN ISO/IEC 27001 – dies ist seit 2018 sogar gesetzlich vorgeschrieben. Unsere kombinierbaren Managementsystem-Frameworks setzen Ihre Normvorgaben auf Wunsch mit umfangreichen automatisierten Prozessen in einer einzigen Umgebung als integriertes Managementsystem um – auch hier mit minimalem Ressourcenbedarf und nach höchsten Standards der Informationssicherheit.Vereinbaren Sie JETZT eine kostenfreie Software-Demo und einen unverbindlichen Beratungstermin!
