Mehr als nur ein Zertifikat
Was genau zertifiziert die ISO 27001?
ISO/IEC 27001:2022 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert, wie Unternehmen Risiken rund um sensible Daten systematisch identifizieren, steuern und kontrollieren, unabhängig von Branche oder Unternehmensgröße. Die Zertifizierung durch eine akkreditierte Stelle belegt, dass Sicherheit nicht nur versprochen, sondern strukturell verankert und unabhängig geprüft wurde.
Für die DTI Group hatte Informationssicherheit immer hohe Priorität, wurde aber selten strategisch betrachtet. Mit dem Launch von COGNAiO® Cloud Extract war es uns besonders wichtig, Vertrauen zu schaffen und Sicherheit nachweisbar zu garantieren.
Vom Vorhaben zur Priorität
Mit dem Launch von COGNAiO® Cloud Extract wurde schnell klar: Sicherheit ist im Kontext von KI-gestützten SaaS-Lösungen keine nachgelagerte Anforderung, sondern eine Grundvoraussetzung. Der Bedarf nach nachweisbarer Sicherheit war vorhanden, der Zeitpunkt eindeutig.
Was vorher als mittelfristiges Vorhaben auf der Roadmap stand, rückte damit an die erste Stelle. Der positive Impact war unmittelbar: erweiterter Marktzugang, gestärktes Kundenvertrauen und die Fähigkeit, Unternehmen in sicherheitskritischen Branchen die nötige Sicherheit bei der Einführung einer neuen Lösung zu geben.
Warum ISO 27001 für AI-SaaS anders gedacht werden muss
ISO 27001 ist nicht neu. Das Framework gibt es seit Jahrzehnten, und viele Unternehmen haben es implementiert zum Beispiel als Dokumentationsübung, als Audit-Vorbereitung oder als Pflichtprogramm.
COGNAiO® Cloud Extract verarbeitet sensible Unternehmensdokumente. Es ist in Enterprise-Systeme integriert, läuft auf Hyperscaler-Infrastrukturen, wird von internationalen Teams entwickelt und betrieben, an Standorten in der Schweiz, Deutschland und Italien. Wer in diesem Umfeld von Informationssicherheit spricht, meint nicht nur eine Policy im Intranet.
Die entscheidende Frage war daher nicht: Implementieren wir ISO 27001? Sondern: 𝙒𝙞𝙚 𝙞𝙢𝙥𝙡𝙚𝙢𝙚𝙣𝙩𝙞𝙚𝙧𝙚𝙣 𝙬𝙞𝙧 𝙚𝙨 𝙨𝙤, 𝙙𝙖𝙨𝙨 𝙚𝙨 𝙬𝙞𝙧𝙠𝙡𝙞𝙘𝙝 𝙩𝙧𝙖̈𝙜𝙩?
Wir hatten eine gute Ausgangslage, denn die ISO 9001-Zertifizierung lag schon lange vor. Das war ein echtes Fundament. Statt ein paralleles System aufzubauen, haben wir die bestehenden Prozessstrukturen erweitert, Verantwortlichkeiten konsolidiert und die neuen Anforderungen organisch integriert.
Das klingt einfacher, als es war. Drei Länder bedeuten unterschiedliche Reifegrade, unterschiedliche Sicherheitskulturen, unterschiedliche Alltagsrealitäten. Den gemeinsamen Nenner zu finden, ohne auf den kleinsten gemeinsamen Nenner zu reduzieren, das war die eigentliche Arbeit.
Was dabei entstanden ist, ist kein Compliance-Konstrukt, das im Regal verstaubt. Es ist ein ISMS, das in unseren Entwicklungsprozessen lebt: Security als fester Bestandteil im Development Lifecycle, Risikomanagement mit konkreten Maßnahmen statt abstrakter Dokumentation, Zugriffskonzepte, die unsere internationalen Teams wirklich abbilden, und Cloud-Security-Kontrollen, die auf unsere Azure-Umgebung zugeschnitten sind.
Hinzu kommt: COGNAiO® Cloud Extract ist nicht nur nach ISO/IEC 27001:2022 zertifiziert! Die Lösung erfüllt auch ISO 27017 für Cloud-Sicherheit sowie ISO 27018 für den Schutz personenbezogener Daten in der Cloud. Das ist die konsequente Weiterentwicklung eines cloud-nativen Sicherheitsmodells.
-
Qualitäts-Management
Strukturierte Steuerung von Prozessen zur konsistenten Lieferung hochwertiger Produkte und Dienstleistungen. Die DTI Group nutzt dieses QMS unter anderem als Fundament für das ISMS.
-
Cloud-Security Richtlinien
Ergänzung zur ISO 27001 mit spezifischen Sicherheitsanforderungen für Cloud-Umgebungen vor allem die Mandantentrennung und Rollenverteilung betreffend. Unser ISMS erfüllt auch diese Richtlinien.
-
Datenschutz in der Cloud
Anforderungen zum Schutz personenbezogener Daten durch Cloud-Dienstleister. Minimierte Datenschutzrisiken innerhalb von COGNAiO® Cloud Extract durch definierte Vorgaben für die Datenverarbeitung.
Das Ergebnis und was uns überrascht hat
Die Zertifizierung war in acht Monaten abgeschlossen. Für ein internationales ISMS über drei Länder ist das schnell. Schneller als viele nationale Projekte. Rückblickend war das möglich, weil wir es als echtes Vorhaben behandelt haben, nicht als Nebenprojekt.
Die unmittelbaren Effekte waren spürbar: Kunden, die vorher abgewartet hatten, konnten COGNAiO® endlich vollständig einsetzen. Neue Kunden kamen, für die die Zertifizierung ein entscheidender Faktor in ihrer Auswahlentscheidung war. Supplier Audits liefen reibungslos durch. Die Frage nach unserem Sicherheitsniveau hat sich in ein belegbares Argument verwandelt.
Was uns ehrlich gesagt überrascht hat: Der interne Effekt. Die Prozesse sind sauberer geworden. Entscheidungswege sind nachvollziehbarer. Teams arbeiten mit klareren Verantwortlichkeiten. Das ist vielleicht der nachhaltigste Wert einer gut umgesetzten ISO 27001.
Das Zertifikat selbst steht auf unserer Website zum Download bereit. Transparent, mit vollem Scope und klarer Zertifizierungsstelle.
ISO 27001 hat uns nicht nur auditierbar gemacht. Es hat unsere Organisation klarer, schneller und international anschlussfähiger gemacht.
Noch Fragen?
Wenn Sie Fragen haben oder gerne mit einem unserer Spezialisten oder dem Vertriebsteam sprechen möchten, nutzen Sie bitte das untenstehende Formular. Wir schätzen Ihre Kontaktaufnahme und freuen uns darauf, Sie bestmöglich zu unterstützen.