cyber-security

AUDITTRAILS – Erster zertifizierter Anbieter digitaler Managementsystem-Frameworks

Es ist amtlich – die AUDITTRAILS Networks GmbH erlangt die Zertifizierung nach DIN EN ISO/IEC 27001 (Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen) und ist damit erster* Anbieter digitaler Managementsystem-Frameworks in Deutschland!

Die Erfahrungen, die wir in unserem Zertifizierungsverfahren gesammelt haben, geben wir nun in Form unserer Software-Frameworks AUDITTRRAILS-27001 und AUDITTRAILS-TISAX an unsere Kunden weiter, die damit ihr eigenes norm- bzw. richtlinienkonformes digitales Managementsystem aufbauen können. Unsere Kunden, die ihr Labor nach DIN EN ISO/IEC 17025 oder DIN EN ISO 15189 akkreditieren lassen, bauen mit unseren Software Frameworks AUDITTRAILS-17025 und AUDITTRAILS-15189 ebenfalls ihr digitales Managementsystem auf oder modernisieren (und erfüllen) gleichzeitig die Anforderungen der Norm in Bezug auf die Informationssicherheit im Unternehmen.

Laden Sie sich unser Zertifikat herunter!

Was genau wir erreicht haben? DIN EN ISO/IEC 27001 legt die Anforderungen an Aufstellen, Umsetzen, Betrieb, Überwachung, Bewertung, Wartung und Verbesserung von dokumentierten Informationssicherheit-Managementsystemen in Bezug auf die allgemeinen Geschäftsrisiken einer Organisation fest.

Sie definiert außerdem die Anforderungen an die Einführung von Sicherheitskontrollen, die auf die Bedürfnisse einer Organisation (oder Teilen davon) zugeschnitten sind. Das Informationssicherheits-Managementsystem ist dafür entwickelt worden, die Auswahl ausreichender und angemessener Sicherheitskontrollen zu gewährleisten, die den Informationsbestand sichern und interessierten Partnern Vertrauenswürdigkeit vermitteln.

Zertifizierter Scope der AUDITTRAILS Networks GmbH

Produktdesign, Konzeption, Bereitstellung und Betrieb webbasierter Software zur Digitalisierung von Geschäftsprozessen und Managementsystemen sowie Schulung und Beratung zur Erlangung und Aufrechterhaltung von Zertifizierungen und Akkreditierungen.

Als wir 2020 mit der Mission starteten, ein digitales Managementsystem zur Erlangung und Aufrechterhaltung einer Akkreditierung nach DIN EN ISO/IEC 17025 (Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien) zu bauen, um damit

  • die Effizienz im komplexen Akkreditierungsprozess zu erhöhen und
  • sowohl die Vorbereitungszeit als auch
  • den notwendigen Zeitbedarf in der Begutachtung durch die Deutsche Akkreditierungsstelle signifikant zu verkürzen,

war uns eines klar:

Das, was wir unseren Kunden ermöglichen möchten, ist mitunter ein harter, steiniger Weg. Eine Zertifizierung (Konformitätsbestätigung) oder gar Akkreditierung (Konformitäts- und Kompetenzbestätigung) ist mit viel Aufwand, Kompetenzbedarf und Vorbereitungszeit verbunden. Für uns bedeutet dies, dass auch wir die höchsten Ansprüchen erfüllen müssen – und wir werden nicht nur unseren Kunden bei der Erlangung und Aufrechterhaltung von Zertifizierungen und Akkreditierungen helfen, sondern uns auch selbst mit unserem eigenen Framework zertifizieren lassen.

Inzwischen ist unser Software-Framework erwachsen geworden und deckt neben den Anforderungen an Prüf- und Kalibrierlaboratorien (DIN EN ISO/IEC 17025) auch die Anforderungen an medizinische Laboratorien (DIN EN ISO 15189) sowie die Anforderungen an Informationssicherheit nach DIN EN ISO/IEC 27001 sowie dem TISAX®-Katalog effizient und konform ab. Die Integration von weiteren Regelwerken, z.B. die IATF 16949, ISO 9001, ISO 45001, ISO 50001 etc., ist ebenfalls ohne Weiteres möglich! Wir sind damit zum Anbieter einer umfassenden Conformity-Management-Plattform herangewachsen.

Unsere Zertifizierung – der Proof-of-Concept

Unsere Kunden stehen bei uns im Mittelpunkt – deswegen bieten wir an, was wir auch selbst nutzen und geeignet finden. Unsere Produkte und Leistungen sollen sich zu 100% am praktischen Nutzen orientieren sowie einfach und intuitiv handhabbar sein. Aus diesem Grund haben wir unser Informationssicherheits-Managementsystem (ISMS) nach DIN EN ISO/IEC 27001 in unserem eigenen Managementsystem-Framework AUDITTRAILS-27001 aufgebaut. Die Erfahrungen, die wir selbst dabei machen durften, haben unmittelbaren Einfluss auf die Weiterentwicklung unserer Plattform – um das Produkt für unsere Kunden noch besser zu machen.

Im Rahmen unseres Zertifizierungsverfahrens haben wir unserem Zertifizierungs-Auditor sowohl im Phase-1-Audit als auch im Zertifizierungsaudit durch die DEKRA temporären Zugriff auf unsere ISMS-Plattform ermöglicht. Dies hat die Effizienz unserer Begutachtung enorm gesteigert, was auch durch unseren Zertifizierungs-Auditor bestätigt wurde:

Manfred Grühn

„Ich habe schon viele Lösungen für die digitale Abbildung von Managementsystemen gesehen, aber was Ihr da gebaut habt, ist echt sehr praxisorientiert. Ich habe mich als Zertifizierungs-Auditor durch die gute, normbasierte Strukturierung sofort zurecht gefunden, sodass die Dokumentprüfung sehr einfach möglich war. Der temporäre Zugriff auf das Managementsystem hat für mich als Auditor durch die ermöglichte Remote-Dokumentprüfung sehr zur Effizienz des Audits beigetragen.“

Manfred Grühn, ISO 27001 Lead-Auditor & Zertifizierungs-Auditor der DEKRA

Für die über die Plattform AUDITTRAILS-27001 verwalteten Inhalte (Personalmanagement, Kompetenzmanagement und Kompetenzmatrix, Dokumentmanagement, Risikomanagement, Prozessmanagement, RACI-Matrix, Maßnahmenmanagement etc.) konnte die Konformitätsüberprüfung sehr einfach durchgeführt werden. Das Auffinden von Nachweisdokumenten geschah binnen weniger Sekunden!

Für uns ist klar: Das effiziente Zertifizierungsaudit und das Statement unseres Zertifizierungs-Auditors ist der Proof-of-Concept, dass unsere Herangehensweise die Richtige ist und wir auf dem Weg zur sinnvollen digitalen Transformation von Zertifizierungs- und Akkreditierungsprojekten den richtigen Pfad gewählt haben.

Überzeugt? Vereinbaren Sie JETZT eine kostenfreie Software-Demo und einen unverbindlichen Beratungstermin!

So profitieren Sie von unserer ISO 27001-Zertifizierung

Wie bereits erwähnt: Unsere Kunden stehen bei uns im Mittelpunkt – deshalb möchten wir Ihnen näher bringen, wie Sie von unserer ISO 27001-Zertifizierung als Kunde profitieren können:

1. Für Ihre eigene ISO 27001-Zertifizierung oder Ihr TISAX®-Assessment benötigen Sie kein Lieferantenaudit bei uns!

In vielen Branchen ist inzwischen die ISO 27001-Zertifizierung bzw. die Einführung und Aufrechterhaltung eines ISMS verpflichtend (z.B. Organisationen in kritischer Infrastruktur). Für Automobilzulieferer ist ein erfolgreiches TISAX®-Assessment verpflichtend. Wenn Sie zu einem Unternehmen gehören, das die Anforderungen der ISO 27001 und/oder TISAX® erfüllen muss, müssen Sie dafür Sorge tragen, dass sich Ihre Lieferanten wiederum auch entsprechend um Informationssicherheit kümmern und dies regelmäßig überprüfen (ISO 27001 – A.15.2.1). Wir selbst setzen diese Anforderung um, indem wir unsere Lieferanten und Dienstleister zur ISO 27001-Zertifizierung verpflichten, das Vorhandensein der Zertifikate regelmäßig überprüfen und diese unter Berücksichtigung des Anwendungsbereiches in unserem Managementsystem ablegen. Dazu zählen auch unsere Entwicklungspartner und Cloud-Service Provider sowie die Dienstleister, die unsere Kundensysteme hosten.

Mit diesem Vorgehen qualifizieren Sie uns in Ihrer Lieferantenbewertung sehr schnell als neuer Lieferant und erfüllen auch Ihre Sorgfaltspflicht zur Verwendung zertifizierter Lieferanten. So wie wir uns auf zertifizierte Lieferanten verlassen, können Sie sich auf die AUDITTRAILS Networks GmbH als zertifizierter Lieferant verlassen – mit einem bequemen Prozess und zukunftssicher.

Das machen andere auch? ACHTUNG Trugschluss! Sicher haben Sie in der ein oder anderen Lieferantenbewertung Ihre Softwaredienstleister bereits auf Daten- und Informationssicherheit, Datenschutz sowie den ausfallsicheren Betrieb angesprochen und die Antwort erhalten: „Darauf legen wir großen Wert, deshalb nutzen wir zur Bereitstellung unserer Services zertifizierte Cloud-Service-Provider.“ Ihre Lieferanten verweisen also darauf, dass ihr Produkt in zertifizierten Rechenzentren betrieben wird. Bitte beachten Sie, dass Ihr Lieferant selbst NICHT zertifiziert ist und damit ggf. insbesondere für die Prozesse „Konzeption und Entwicklung“ keine Sensibilisierung für Informationssicherheit und mögliche Risiken existiert. Nicht nur der Cloud-Provider, sondern auch der Software-Inverkehrbringer muss die Informationssicherheit auf einem vereinbarten Niveau halten.

Umgekehrt gilt dies für Lieferanten, die zwar zertifiziert sind, Ihnen Ihre Lösung aber „on-premise“ (Software, die auf Ihren eigenen Servern betrieben wird) zur Verfügung stellen – hier nützt es Ihnen nur bedingt, wenn ihr Lieferant zertifiziert ist, da Ihre Lösung aber bei Ihnen in einer „unischeren“ IT-Infrastruktur betrieben wird. Die Kette derjenigen, die die Prinzipien der Informationssicherheit einhalten, muss ununterbrochen und stetig sein. Betreiben Sie „on-premise“-Lösungen, so müssen Sie selbst für Informationssicherheit, Verfügbarkeit, Backups, Authentifizierung und Autorisierung etc. sorgen.

2. Security-by-design

Wir haben uns durch die Zertifizierung nicht nur die Konformität bestätigen lassen, um nachzuweisen, dass wir im Unternehmen nach einheitlichen Richtlinien arbeiten und technische sowie organisatorische Maßnahmen für höchste Informationssicherheit etabliert haben – wir leben unsere Prinzipien auch im Rahmen unserer Software-Entwicklung und geben unsere Prinzipien an unsere Kunden weiter. In allen Aspekten profitieren Sie als unser Nutzer dabei auch im Hinblick auf Ihre Informationssicherheit.

Unsere AUDITTRAILS-Plattform bietet für alle managementsystemrelevanten Dokumentationsanforderungen entsprechende Module:

  • Personalverwaltung und Kompetenzmanagement
  • Rollen- und Berechtigungsmanagement
  • Prüfmittelmanagement inkl. Nachweisführung zur metrologischen Rückführbarkeit
  • Kalibriermanagement
  • Wartungsmanagement
  • Dokumentgenerierung und -lenkung inkl. Schutzklassenbestimmung und Vertraulichkeitssteuerung
  • Maßnahmenmanagement
  • Management von Risiken- und Chancen
  • Schulungsmanagement
  • Lenkung von Aufzeichungen
  • etc.

Um all diese dokumentierte Information in Ihrem Unternehmen mit Bordmitteln oder Software-Insellösungen zu managen, ist viel Aufwand notwendig: Sie legen Zugriffsrechte auf Speicherorte und Softwaresysteme fest, sie administrieren zentrale User-Managementsysteme und legen Zugriffslevel fest, sie erstellen und lenken unzählige Excel-Lösungen, verwalten und lenken diese, sie lassen Software modifizieren und investieren in neue Insellösungen uvm. Am Ende muss jedes Detail schließlich dokumentiert sein, alle Daten müssen der jeweiligen Schutzklasse entsprechend im Zugriff stehen und ordnungsgemäß gesichert, verschlüsselt und vor fremdem Zugriff geschützt sein – auf allen Ebenen der Unternehmensprozesse.

Die AUDITTRAILS-Plattform stellt ihnen den vollständigen Umfang aller zum digitalen Managementsystem notwendigen Bausteine zur Verfügung, die Sie benötigen, um ein normkonformes Managementsystem zu etablieren. Unser security-by-design Ansatz stellt für Sie folgendes sicher:

  • Authentifizierung durch state-of-the-art Authentifizierungs-Gateways, die auf Basis von Standard-Protokollen arbeiten. Wir unterstützen OAuth 2.0, OpenID Connect und SAML 2.0 – eine Mehrfaktorauthentifizierung ist Standard.
  • Autorisierung durch ein auf fachlichen Rollen basiertes Berechtigungssystem. Vergleichbar mit der Blockchain-Technologie wird für jeden Klick, den ein User in der Software macht, eine Anfrage an das Berechtigungssystem gesendet. Dort wird validiert, ob der User noch über die angeforderte Berechtigung verfügt. Kommt ein valider Token zurück, so bekommt der User die angeforderten Daten angezeigt. Ist der Token ungültig, wird die Anfrage abgelehnt. Zudem stellen Sie durch unser Informations-Klassifizierungs-Konzept sicher, dass dokumentierte Informationen nur von Personen einsehbar sind, die eindeutig befugt sind.
  • Tägliche Back-ups – 90 Tage rückwirkend: Täglich wird ein Backup erstellt, das 90 Tage in die Vergangenheit zeigt.
  • Geo-redundante Datensicherung: die Back-ups werden mehrfach an geo-redundanten Standorten gesichert. Die Standorte der Datensicherung sind mehrere hundert Kilometer voneinander entfernt. Im Falle einer Naturkatastrophe soll dies vor Verlust und Gefährdung der Datenträger schützen.
  • Verschlüsselte Back-ups: Die Backups werden verschlüsselt gespeichert und können nicht kompromittiert werden. Die Widerherstellung ist nur durch autorisiertes Personal aus einem autorisiertem Netzwerk möglich. Sofern Zugriffe aus anderen Netzwerken versucht werden, wird dies vollumfänglich verhindert.
  • Umfassendes Monitoring: Ihre Serverlast steigt aufgrund zunehmender Daten oder steigender Zugriffe? Kein Problem – wir haben Ihr System im Blick und registrieren jegliche Anomalität Ihres Systems. In diesem Zusammenhang erweitern wir Speicherkapazitäten oder erhöhen die CPU-Performance Ihres Mandanten auf Knopfdruck – ohne Aufpreis für Sie.
  • Penetrationstests: Ihr Mandant wird in regelmäßigen Zyklen Penetrationstests unterzogen, die eventuelle Sicherheitslücken in Bezug auf Cross-site-scripting, Code-Injection oder anderer Angriffsvektoren aufdecken sollen. So konnten wir in der Vergangenheit die Sicherheit unserer Anwendung nochmals verbessern.
  • Audit-Trail: Jede Änderung am Datenbestand Ihres Mandanten unterliegt strengster Überwachung durch unser Autorisierungskonzept, sodass Änderungen nur von autorisiertem Personal durchgeführt werden können. Zusätzlich wird jede Änderung in unserem Audit-Trail niedergeschrieben und mit einem Zeit- und Namensstempel sowie einem Transaktionscode versehen.

Zusammenfassend kann man sagen: Durch den Einsatz der AUDITTRAILS-Plattform ersparen Sie Ihrer internen IT erheblichen Aufwand zur Sicherstellung umfassender Aspekte zur Informationssicherheit in Ihrem Prozess. Sie verlagern nicht nur Ihre Prozess und Daten in die Cloud, sondern stellen gleichzeitig sicher, dass das ALCOA-Prinzip stets gewahrt bleibt. Dieses beschreibt die wichtigsten Anforderungen an die Datenintegrität.

Demnach müssen Daten folgende Eigenschaften aufweisen:

Attributable (Zuordenbar)
Legible (permanent lesbar)
Contemporaneous (aktuell)
Original (in originaler Form)
Accurate (richtig)

3. Sie streben eine Zertifizierung nach DIN EN ISO/IEC 27001 oder ein erfolgreiches Assessment nach TISAX® an –
Wir unterstützen Sie dabei!

Durch unsere Best Practices aus der eigenen Zertifizierung und der Erfahrung unserer Netzwerkpartner können wir Sie in Ihrem eigenen Zertifizierungsvorhaben effektiv unterstützen! Viele Automobilzulieferer benötigen sowohl eine Labor-Akkreditierung nach DIN EN ISO/IEC 17025 als auch ein TISAX®-Label. Unternehmen in kritischer Infrastruktur, wie z.B. Lebensmittel- oder Trinkwasserlabore, benötigen sowohl die Akkreditierung nach DIN EN ISO/IEC 17025 als auch ein etabliertes Informationssicherheits-Managementsystem nach DIN EN ISO/IEC 27001 – dies ist seit 2018 sogar gesetzlich vorgeschrieben. Wenn Sie Ihre Managementsysteme integriert bzw. kombiniert betreiben und dabei so effizient wie möglich vorgehen wollen, ist AUDITTRAILS als ISO27001-zertifiziertes Unternehmen Ihr geeigneter Partner.

Vereinbaren Sie JETZT eine kostenfreie Software-Demo und einen unverbindlichen Beratungstermin!

Lesen Sie auch:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner