DE 
NL 
EN 
Es wird immer wichtiger zu zeigen, dass man als Organisation alle Anforderungen an die Informationssicherheit erfüllt. Kaliber hat dies erkannt und beschlossen, sein Unternehmen auf die Zertifizierung nach ISO 27001 vorzubereiten. DigiTrust hat kürzlich das offizielle Zertifikat verliehen.
Nienke van Heusden, Geschäftsführerin, und Erik Westra, Technischer Direktor, erläutern, wie die Umsetzung der ISO 27001 Kaliber als Organisation ein wenig professioneller. Außerdem zeigt es den Kunden, dass sie die Informationssicherheit richtig handhaben.
Verstärkte Konzentration auf die Informationssicherheit
Die Digitalagentur Kaliber verbindet Strategie, Kreativität und Technologie, um Interaktion zwischen Menschen und Marken zu schaffen. Nienke: "Wir helfen Marken zu wachsen und ihre Zielgruppe zu bewegen. Vor etwa fünf Jahren haben wir unseren Kurs geändert. Wir haben uns von einer Projektorganisation zu einer Account-Organisation gewandelt. Das bedeutet, dass wir uns mehr um den Aufbau langfristiger Beziehungen zu unseren Kunden bemühen, anstatt von Projekt zu Projekt zu arbeiten. Wir konzentrieren uns jetzt darauf, ihre Probleme zu knacken und die besten Lösungen anzubieten."
Erik: "Die Welt verändert sich, und große Unternehmen haben ihre Sicherheit in den letzten Jahren immer ernster genommen. Der sorgfältige Umgang mit Daten ist wichtig. Schließlich kommt es immer häufiger zu Datenschutzverletzungen und es werden immer mehr Cyberangriffe gemeldet. Auch unsere Kunden wollen, dass dies ordentlich geregelt wird. Sie erwarten daher von ihren Lieferanten, dass ihre Informationssicherheit in Ordnung ist. Ohne eine ISO-27001-Zertifizierung ist man als Agentur aufgeschmissen."
Klar in der Kommunikation
Bei der Vorbereitung auf die Prüfung nach der Norm ISO 27001 wurde Kaliber von Nieuwhuis Consult unterstützt. Nienke: "Ihr Berater wurde tatsächlich Teil unseres Projektteams zur Einführung von ISO 27001 in unserer Organisation. Er gab uns auch den Tipp, DigiTrust als Zertifizierungsstelle zu wählen. Das beruhte auf guten Erfahrungen in der Vergangenheit. Der erste Kontakt war sofort spürbar. Es hat Klick gemacht. Dabei hat DigiTrust sehr klar kommuniziert, wie die Bewertung ablaufen würde."
Umsetzung der Normenregeln in praktikable Situationen
Die Umsetzung der ISO 27001-Norm innerhalb der Organisation erforderte Zeit und Aufmerksamkeit. Erik: "Wir wollten, dass die Umsetzung unternehmensweit erfolgt und nicht zu einem technischen Projekt wird. Es gelang uns, Unterstützung zu schaffen, indem wir den Bedarf klar erklärten. Informationen sind das Gold unserer Zeit. Und wenn man einen Sack voll Gold in den Händen hält, kann man ihn nicht einfach auf den Tisch legen und weggehen. Durch diese Art von Vergleich haben wir versucht, die manchmal komplizierte Angelegenheit greifbarer zu machen."
Nienke: "Das Wichtigste war, die Regeln der Norm in eine praktikable Situation für Kaliber zu übersetzen. So dass jeder verstand, was erwartet wurde, und unsere Organisation beweglich blieb. Während wir Beweise sammelten und alle Vorschriften in dreifacher Ausfertigung niederschrieben. Es war schwierig, diese Übersetzung vorzunehmen."
Erik: "Das hatten wir in der Tat vorher unterschätzt. Es war eine ziemliche Aufgabe, den etwas rohen Text der Norm für alle logisch zu machen und ihn in unserer Organisation anzuwenden. Dann mussten wir auch noch ein Übersetzungsdokument erstellen, damit wir wussten, wie unsere Maßnahmen mit den Regeln in der Norm übereinstimmen."
Sicherstellen, dass alles gut dokumentiert ist
Während der Umsetzung stellten sie fest, dass sie auf einem guten Weg waren. Nienke: "Ausgehend von einem kleinen Projektteam haben wir alle Mitarbeiter des Unternehmens in den Prozess einbezogen. Durch regelmäßige Kontrollen, Sensibilisierungssitzungen und Präsentationen. So wussten wir irgendwann, dass wir alles richtig eingerichtet hatten. Dann ging es darum, die richtigen Nachweise zu sammeln und zu dokumentieren."
Erik: "Der im Voraus festgelegte Zeitplan erwies sich als unrealistisch. Das Team war klein und es war viel Arbeit nötig. Das mussten wir neben unserer täglichen Arbeit auffangen. Aber rückblickend auf den gesamten Prozess sind wir sehr zufrieden."
Klares Feedback während des Audits
Erik: "Kurz vor der Prüfung waren wir nervös. Es fühlte sich an, als stünden wir vor einer mündlichen Prüfung. Schließlich weiß man ja nicht, was einen erwartet. Der Prüfer von DigiTrust war entspannt und hat uns beruhigt. Er hatte klare Tagesordnungspunkte und meldete uns immer, was er herausgefunden hatte. Er erklärte genau, welche Auswirkungen ein bestimmtes Ergebnis hatte. Dabei hat er nicht mit dem Finger auf andere gezeigt. Unter Einhaltung der üblichen Regeln hat er uns auf angenehme Art und Weise durch die Prüfung geführt."
Jetzt geht es erst richtig los
Nienke: "Während wir am Anfang vor allem daran interessiert waren, uns zertifizieren zu lassen, stellen wir jetzt fest, dass viele Prozesse besser rationalisiert sind. Das hilft, wenn neue Mitarbeiter oder Freiberufler hinzukommen. Calibre ist als Organisation professioneller geworden."
Erik: "Die ISO ist kein Selbstzweck. Sie ist ein Stempel, den man erhält, wenn man nach einer bestimmten Methode arbeitet. In dieser Hinsicht ist es wie eine Geburt. Nach dem ersten Audit fängt es erst an, und man muss dafür sorgen, dass sich die Organisation weiter entwickelt. Es macht uns stolz, dass wir jetzt ISO 27001-zertifiziert sind.
