KMS > KMS inside > Informationssicherheit und Qualitätsstandards offiziell bescheinigt
Foto Heiko Meyer

Prof. Dr. Heiko Meyer

18. Februar 2021

Informationssicherheit und Qualitätsstandards offiziell bescheinigt

Der TÜV SÜD hat gleich zwei Zertifizierungen
an uns vergeben: Die ISO 27001 bestätigt ein umfangreiches und valides Informationssicherheits- Managementsystem, die ISO 9001 ein
zuverlässiges Qualitätsmanagementsystem.

Als Anbieter von Software-Lösungen in der deutschen Gesundheitswirtschaft ist die Sicherheit von Daten, Systemen und Informationen eine der wichtigsten Grundlagen für KMS. Informationssicherheit ist allerdings nur dann zu gewährleisten, wenn auch Qualitätsstandards definiert und kontrolliert werden. Hieraus ergibt sich, dass es sehr große Überschneidungen zwischen den Normen zum Qualitätsmanagement und zum Informationssicherheits-Management gibt. Deshalb hat KMS vor rund einem Jahr den Zertifizierungsprozess für beide Normen angestoßen. Das Ziel war es, beide Zertifizierungen vom Start weg zu erhalten.

Der Startpunkt zum Aufbau eines Qualitätsmanagementsystems ist es, Rollen und Verantwortlichkeiten zu definieren. Diese werden in Rollenbeschreibungen und einem Organigramm festgelegt. Als nächster Schritt sind alle qualitätsrelevanten Prozesse zwischen den Abteilungen und den Rollen zu beschreiben. Nachdem bei KMS auch das Informationssicherheits-Management auditiert und zertifiziert wurde, berücksichtigen die Prozessbeschreibungen zusätzlich auch alle relevanten Prozesse der Informationssicherheit.
Ein weiteres, zentrales Element ist die Erfassung und Überwachung von Risiken und Chancen. Nicht gewollte Ereignisse und deren Auswirkungen sollen zukünftig vermieden, Chancen für das Unternehmen hingegen genutzt werden.

Eine etablierte Methode hierzu ist der kontinuierliche Verbesserungsprozess, auch bekannt unter dem Namen PDCA-Zyklus (Plan, Do, Check, Act). Hieraus resultiert, dass zu jedem identifizierten Risiko und jeder identifizierten Chance eine geeignete Maßnahme definiert wird, deren Wirksamkeit im nächsten Zyklus bewertet wird. Das Qualitätsmanagementsystem wird abgerundet durch ein integriertes Kennzahlensystem. Dieses beinhaltet auf KMS zugeschnittene Kennzahlen zu den Bereichen Kunden, Lieferanten, Mitarbeiter, Finanzen, Support, Softwareentwicklung und Projektleitung. Ergänzt wird es um Kennzahlen zur Informationssicherheit hinsichtlich der internen IT. Alle Kennzahlen werden quartalsweise erfasst und von der Geschäftsleitung überwacht. Bei nicht tolerierbaren Abweichungen sind adäquate Maßnahmen zum Gegensteuern zu ergreifen.

Für die ISO 27001, die auch international als die führende Norm für Informationssicherheits-Managementsysteme gilt, wurde im Rahmen der Vorbereitungen innerhalb eines halben Jahres ein Integriertes Managementsystem (IMS) aufgebaut. Dieses beinhaltet das Qualitäts- und Informationssicherheits-Managementsystem. Nachdem die zu behandelnden Themen der ISO 27001 deutlich aufwendiger sind und der Zeitrahmen eingehalten werden sollte, hat sich KMS zum Aufbau des IMS professionelle Unterstützung geholt: Die Lösch und Partner GmbH aus München stand uns bis zur Auditierung mit kompetenter Beratung und Prozessbegleitung zur Verfügung. 

Das IMS berücksichtigt dabei sowohl die Informations- als auch die IT-Sicherheit. Die IT-Sicherheit umfasst Tätigkeiten, die vorrangig und operativ von der IT-Abteilung umgesetzt werden und auch im Einklang mit dem sogenannten IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind. Der IT-Grundschutz ist eine vom BSI entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen IT. Das Ziel des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme. Zum Erreichen des Ziels sind technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen notwendig. Hierzu zählen u. a. die Implementierung von Verschlüsselungsverfahren, die Umsetzung technischer Maßnahmen zum Schutz vor Schadsoftware oder auch die Durchführung von Penetrationstests zur Aufdeckung von Schwachstellen in der eigenen IT-Infrastruktur.
TÜV SÜD ISO 27001
TÜV SÜD ISO 9001
Dahingegen betrifft die Informationssicherheit nicht nur die IT-Abteilung, sondern muss initial von der Geschäftsleitung und allen involvierten Unternehmensbereichen umgesetzt werden. Nur wenn alle Beteiligten hinter diesem Ziel stehen, kann ein IMS mit den notwendigen zeitlichen, finanziellen und vor allem personellen Ressourcen erfolgreich umgesetzt werden. Informationswerte wie beispielsweise Unterlagen in Papierform zu Mitarbeiter:innen oder Kundenverträgen sind zu schützen, dies beinhaltet auch die Zugangsbeschränkung zu speziellen Räumen. Auch regelmäßige Schulungen der Mitarbeiter:innen zum IMS und zum Datenschutz sind nur Beispieltätigkeiten, die es umzusetzen gilt. 

Nach nur sieben Monaten Vorbereitungszeit und einer umfangreichen und kombinierten Auditierung seitens des TÜV SÜD war die Freude natürlich umso größer, als wir Anfang des Jahres 2021 beide angestrebten ISO-Zertifizierungen in den Händen halten durften! „Die ISO 27001 bescheinigt uns ein zuverlässiges Informationssicherheits-Managementsystem und bestätigt einen achtsamen und sicheren Umgang mit den Daten unserer Kunden“, so Professor Dr. Heiko Meyer, CTO bei KMS. „Für uns als Software-Anbieter ist das seit jeher das A und O – umso schöner, dies nun auch durch die ISO-Zertifizierung schwarz auf weiß bestätigt zu bekommen“.

Und auch die Urkunde für das zertifizierte Qualitätsmanagementsystem darf sich über einen Ehrenplatz im KMS-Büro freuen:

»Mit der ISO- Zertifizierung 9001 wird offiziell
die Ausrichtung aller Aktivitäten an den Mehrwerten und Bedürfnissen der Kunden unterstrichen.«

Alois G. Steidel, Gründer und CEO von KMS
Für den Firmengründer ist das Prüfsiegel ein wichtiges Zeichen: „Unser Anspruch ist es, dem Kunden nicht nur eine reibungslose Software-Umgebung zu bieten, sondern auch ein zuverlässiger Partner zu sein. Deshalb stehen wir auch voll und ganz hinter dem Gedanken der ISO 9001: Eine hohe Qualität sicherzustellen und damit die Kundenzufriedenheit nachhaltig zu steigern“.
Foto Heiko Meyer
– AUTOR

Prof. Dr. Heiko Meyer
Geschäftsleitung
Chief Technology Officer (CTO)

E-Mail senden

Weiterführende Artikel

- Wissensmanager #12

Stöbern Sie durch die aktuelle Printausgabe unseres Magazins

Bleiben Sie up-to-date
KMS-Newsletter abonnieren
Wir sind immer für Sie da
Kontakt aufnehmen
KMS Vertrieb und Services GmbH
Inselkammerstraße 1
82008 Unterhaching

Telefon: +49 89 66 55 09-0
Telefax: +49 89 66 55 09-55

Support: +49 89 66 55 09-45