Informationssicherheit und Qualitätsstandards offiziell bescheinigt
Der TÜV SÜD hat gleich zwei Zertifizierungen an uns vergeben: Die ISO 27001 bestätigt ein umfangreiches und valides Informationssicherheits- Managementsystem, die ISO 9001 ein zuverlässiges Qualitätsmanagementsystem.
Als Anbieter von Software-Lösungen in der deutschen Gesundheitswirtschaft ist die Sicherheit von Daten, Systemen und Informationen eine der wichtigsten Grundlagen für KMS. Informationssicherheit ist allerdings nur dann zu gewährleisten, wenn auch Qualitätsstandards definiert und kontrolliert werden. Hieraus ergibt sich, dass es sehr große Überschneidungen zwischen den Normen zum Qualitätsmanagement und zum Informationssicherheits-Management gibt. Deshalb hat KMS vor rund einem Jahr den Zertifizierungsprozess für beide Normen angestoßen. Das Ziel war es, beide Zertifizierungen vom Start weg zu erhalten.
Der Startpunkt zum Aufbau eines Qualitätsmanagementsystems ist es, Rollen und Verantwortlichkeiten zu definieren. Diese werden in Rollenbeschreibungen und einem Organigramm festgelegt. Als nächster Schritt sind alle qualitätsrelevanten Prozesse zwischen den Abteilungen und den Rollen zu beschreiben. Nachdem bei KMS auch das Informationssicherheits-Management auditiert und zertifiziert wurde, berücksichtigen die Prozessbeschreibungen zusätzlich auch alle relevanten Prozesse der Informationssicherheit. Ein weiteres, zentrales Element ist die Erfassung und Überwachung von Risiken und Chancen. Nicht gewollte Ereignisse und deren Auswirkungen sollen zukünftig vermieden, Chancen für das Unternehmen hingegen genutzt werden.
Eine etablierte Methode hierzu ist der kontinuierliche Verbesserungsprozess, auch bekannt unter dem Namen PDCA-Zyklus (Plan, Do, Check, Act). Hieraus resultiert, dass zu jedem identifizierten Risiko und jeder identifizierten Chance eine geeignete Maßnahme definiert wird, deren Wirksamkeit im nächsten Zyklus bewertet wird. Das Qualitätsmanagementsystem wird abgerundet durch ein integriertes Kennzahlensystem. Dieses beinhaltet auf KMS zugeschnittene Kennzahlen zu den Bereichen Kunden, Lieferanten, Mitarbeiter, Finanzen, Support, Softwareentwicklung und Projektleitung. Ergänzt wird es um Kennzahlen zur Informationssicherheit hinsichtlich der internen IT. Alle Kennzahlen werden quartalsweise erfasst und von der Geschäftsleitung überwacht. Bei nicht tolerierbaren Abweichungen sind adäquate Maßnahmen zum Gegensteuern zu ergreifen.
Für die ISO 27001, die auch international als die führende Norm für Informationssicherheits-Managementsysteme gilt, wurde im Rahmen der Vorbereitungen innerhalb eines halben Jahres ein Integriertes Managementsystem (IMS) aufgebaut. Dieses beinhaltet das Qualitäts- und Informationssicherheits-Managementsystem. Nachdem die zu behandelnden Themen der ISO 27001 deutlich aufwendiger sind und der Zeitrahmen eingehalten werden sollte, hat sich KMS zum Aufbau des IMS professionelle Unterstützung geholt: Die Lösch und Partner GmbH aus München stand uns bis zur Auditierung mit kompetenter Beratung und Prozessbegleitung zur Verfügung.
Das IMS berücksichtigt dabei sowohl die Informations- als auch die IT-Sicherheit. Die IT-Sicherheit umfasst Tätigkeiten, die vorrangig und operativ von der IT-Abteilung umgesetzt werden und auch im Einklang mit dem sogenannten IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind. Der IT-Grundschutz ist eine vom BSI entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen IT. Das Ziel des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme. Zum Erreichen des Ziels sind technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen notwendig. Hierzu zählen u. a. die Implementierung von Verschlüsselungsverfahren, die Umsetzung technischer Maßnahmen zum Schutz vor Schadsoftware oder auch die Durchführung von Penetrationstests zur Aufdeckung von Schwachstellen in der eigenen IT-Infrastruktur.
Dahingegen betrifft die Informationssicherheit nicht nur die IT-Abteilung, sondern muss initial von der Geschäftsleitung und allen involvierten Unternehmensbereichen umgesetzt werden. Nur wenn alle Beteiligten hinter diesem Ziel stehen, kann ein IMS mit den notwendigen zeitlichen, finanziellen und vor allem personellen Ressourcen erfolgreich umgesetzt werden. Informationswerte wie beispielsweise Unterlagen in Papierform zu Mitarbeiter:innen oder Kundenverträgen sind zu schützen, dies beinhaltet auch die Zugangsbeschränkung zu speziellen Räumen. Auch regelmäßige Schulungen der Mitarbeiter:innen zum IMS und zum Datenschutz sind nur Beispieltätigkeiten, die es umzusetzen gilt.
Nach nur sieben Monaten Vorbereitungszeit und einer umfangreichen und kombinierten Auditierung seitens des TÜV SÜD war die Freude natürlich umso größer, als wir Anfang des Jahres 2021 beide angestrebten ISO-Zertifizierungen in den Händen halten durften! „Die ISO 27001 bescheinigt uns ein zuverlässiges Informationssicherheits-Managementsystem und bestätigt einen achtsamen und sicheren Umgang mit den Daten unserer Kunden“, so Professor Dr. Heiko Meyer, CTO bei KMS. „Für uns als Software-Anbieter ist das seit jeher das A und O – umso schöner, dies nun auch durch die ISO-Zertifizierung schwarz auf weiß bestätigt zu bekommen“.
Und auch die Urkunde für das zertifizierte Qualitätsmanagementsystem darf sich über einen Ehrenplatz im KMS-Büro freuen:
»Mit der ISO- Zertifizierung 9001 wird offiziell die Ausrichtung aller Aktivitäten an den Mehrwerten und Bedürfnissen der Kunden unterstrichen.«
Alois G. Steidel, Gründer und CEO von KMS
Für den Firmengründer ist das Prüfsiegel ein wichtiges Zeichen: „Unser Anspruch ist es, dem Kunden nicht nur eine reibungslose Software-Umgebung zu bieten, sondern auch ein zuverlässiger Partner zu sein. Deshalb stehen wir auch voll und ganz hinter dem Gedanken der ISO 9001: Eine hohe Qualität sicherzustellen und damit die Kundenzufriedenheit nachhaltig zu steigern“.
– AUTOR
Prof. Dr. Heiko Meyer Geschäftsleitung Chief Technology Officer (CTO)
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.
Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.