ISO Compliance Center
von CodeTwo
Das Informationssicherheits-Managementsystem (ISMS) von CodeTwo, das gemäß den Anforderungen von ISO/IEC 27001 und ISO/IEC 27018 zertifiziert ist, garantiert maximale Informationssicherheit und Schutz persönlicher Daten sowohl in der Cloud als auch in lokaler Umgebung.
Dieses ISO Compliance Center soll Sie über Folgendes informieren:
Was ist ISO/IEC 27001 und ISO/IEC 27018
ISO-Normen werden von der Internationalen Organisation für Normung (ISO) entwickelt, herausgegeben und aufrechterhalten. Die ISO/IEC 27000-Serie befasst sich mit Informationssicherheit, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Die folgende Tabelle gibt einen allgemeinen Überblick über ISO/IEC 27001 und ISO/IEC 27018 und enthält das Zertifikat, das unsere Konformität bestätigt.
IS 764207 PII 764209
Wie hat CodeTwo das mit ISO/IEC 27001 und ISO/IEC 27018 konforme ISMS implementiert
Wir betrachten den Schutz der Unternehmensdaten und der Daten, die uns von unseren Kunden und Partnern anvertraut werden, seit jeher als Priorität. Wir entwickeln und verbessern seit vielen Jahren relevante Richtlinien, Verfahren und Systeme, die unser Informationssicherheits-Managementsystem bilden. Dabei greifen wir auf bewährte Methoden und Industriestandards wie ISO/IEC 27001 und ISO/IEC 27018 zurück. Darüber hinaus hält CodeTwo auch die Vorgaben der DSGVO, des HIPAA, des CCPA und anderer Datenschutzgesetze der US-Bundesstaaten ein und erfüllt die PCI-Datensicherheitsanforderungen.
Die Erlangung des ISO-Zertifikats ist der Höhepunkt unserer langfristigen Bemühungen, den Informationen, die innerhalb unseres Unternehmens und über unsere Software sowohl lokal als auch in der Cloud verarbeitet werden, ein Höchstmaß an Sicherheit zu gewährleisten.
Hier lesen Sie die Informationssicherheits-Managementsystem-Richtlinie von CodeTwo
1. Hundertprozentige Einhaltung der Normen
Das ISMS von CodeTwo erfüllt alle Anforderungen von ISO/IEC 27001 und ISO/IEC 27018 – ohne Ausnahmen.
2. Einhaltung der CIA-Triade-Prinzipien
Wir stellen sicher, dass die Vertraulichkeit, Integrität und Verfügbarkeit (eng. CIA – Confidentiality, Integrity and Availability) der von uns verarbeiteten Informationen jederzeit gewahrt bleibt.
3. Umfassende Dokumentation
Wir dokumentieren alle Richtlinien, Prozesse und Verfahren, die in CodeTwo funktionieren. Darüber hinaus protokollieren wir jede Risikobewertung, Prüfung, Sicherheitsmaßnahme, Informationssicherheitsvorfall usw. Die gesamte Dokumentation wird von C-Level-Führungskräften geprüft.
4. Änderungsmanagement
Wir führen jede organisatorische Änderung durch, indem wir den PDCA-Zyklus (d. h. Plan-Do-Check-Act) befolgen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen sicherzustellen. Diese Grundsätze gelten auch für die Softwareentwicklung selbst. Jede Änderung an unserer Software wird sorgfältig geplant, dokumentiert und braucht eine Einwilligung. Die alte Version der Software ist so gesichert, dass sie bei Bedarf wiederhergestellt werden kann. Sobald die Änderung erfolgreich implementiert wurde, geben wir die neue Version der Software erst nach dem erfolgreichen Abschluss aller Tests frei. Nach der Freigebe der neuen Version bemühen wir uns, das Produkt noch weiter zu verbessern.
5. Risikobewertung und Risikobehandlungsplan
Wir erkennen und dokumentieren alle möglichen Bedrohungen und Schwachstellen, die die Informationssicherheit in unserem Unternehmen gefährden könnten. Wir bestimmen auch die Wahrscheinlichkeit und die Auswirkung dieser Risiken (unter Berücksichtigung verschiedener Szenarien) und entwickeln einen Korrekturplan, um den Informationsverlust und die Wahrscheinlichkeit des Auftretens solcher Risiken zu minimieren oder zu beseitigen. Dank der in unserem Unternehmen implementierten Sicherheitsmaßnahmen und Kontrollmechanismen können wir schnell feststellen, wer eine Änderung an einem bestimmten Quellcode, einer bestimmten Prozedur oder einem Dokument vorgenommen hat sowie wann die Änderung geschah und was geändert wurde.
6. Gründlich geprüft
Wir unterziehen uns regelmäßigen internen und externen Sicherheitsprüfungen, welche in beiden unseren Büros durchgeführt werden. Bei externen Audits überprüft eine externe Zertifizierungsstelle, ob CodeTwo weiterhin den Anforderungen von ISO/IEC 27001 und ISO/IEC 27018 erfüllt. Darüber hinaus führen wir zusätzliche interne Audits im Falle eines Informationssicherheitsvorfalls, nach jeder organisatorischen Änderung usw., durch. Diese Prüfungen werden gemäß unserem jährlichen Prüfungsplan von ausgewählten Mitarbeitern, die als Prüfer ernannt und geschult wurden, sowie von externen Prüfern durchgeführt.
7. Betriebskontinuitätsmanagement
Wir sind auf alle Eventualitäten vorbereitet, die die geschäftskritischen Prozesse, die Software und die Dienstleistungen von CodeTwo beeinträchtigen könnten. Der in unserem Unternehmen implementierte Betriebskontinuitätsplan beschreibt alle organisatorischen und technischen Maßnahmen, die zur Reaktion auf potenzielle Krisensituationen eingesetzt werden, um unseren Kunden kontinuierlich Dienstleistungen zu erbringen.
8. Engagement aller Mitarbeiter
Jeder CodeTwo-Mitarbeiter muss seine Verantwortlichkeiten in Bezug auf die Informationssicherheit kennen, alle geltenden Verfahren befolgen und die in den Unternehmensrichtlinien festgelegten Richtlinien einhalten. Darüber hinaus sind alle Mitarbeiter an eine Vertraulichkeitsvereinbarung gebunden, wobei diejenigen, die personenbezogene Daten oder Kundendaten verarbeiten, auch eine entsprechende schriftliche Genehmigung benötigen. Um dies zu gewährleisten und das Bewusstsein der Mitarbeiter zu erweitern, organisieren wir bei jeder Einführung von Änderungen im ISMS interne oder externe Schulungen für alle Mitarbeiter. Alle Änderungen werden allen Mitarbeitern unverzüglich mitgeteilt, und die sämtliche Belegschaft liest mindestens einmal jährlich die dazugehörigen Unterlagen. Zusätzliche Schulungen werden bei Bedarf organisiert. Die C-Level-Führungskräfte unterstützen und tragen aktiv zu allen Sicherheits- und ISO-bezogenen Aktivitäten bei.
9. Privacy by design / privacy by default
Indem wir diesen beiden Konzepten folgen, bemühen wir uns, sicherzustellen, dass die Entwicklung und Bereitstellung unserer Lösungen, die personenbezogene Daten verarbeiten, unter Berücksichtigung der Sicherheit dieser Daten erfolgt. Darüber hinaus sind standardmäßig immer alle Sicherheitsfunktionen aktiviert. Benutzer müssen keine zusätzlichen Maßnahmen ergreifen, um ein Höchstmaß an Schutz zu gewährleisten.
10. Einhaltung gesetzlicher Bestimmungen
Neben der Erfüllung der Anforderungen von ISO/IEC 27001 und ISO/IEC 27018 stellen wir auch immer sicher, dass wir alle relevanten Gesetze und Vorschriften zum Datenschutz einhalten, z. B. die EU-Datenschutz-Grundverordnung.
11. Behandlung von Sicherheitsvorfällen
Wir behandeln alle tatsächlichen und potenziellen Sicherheitsvorfälle unverzüglich und in Übereinstimmung mit dem ISMS. Sobald erkannt, wird ein solcher Vorfall dem zuständigen Personal gemeldet, wo er bewertet, dokumentiert und behoben wird. Darüber hinaus ziehen wir aus allen gemeldeten Vorfällen Schlussfolgerungen, um die Sicherheit und Reaktionszeit zu verbessern und ähnliche Vorfälle in Zukunft zu minimieren oder zu vermeiden.
12. Lieferantenbeziehungen
Wir überwachen und überprüfen alle Drittanbieter-Dienste und Lieferanten, die wir hinsichtlich der Informationssicherheit verwenden. Wir stellen außerdem sicher, dass der Zugriff von Dritten auf die von uns verarbeiteten Informationen auf ein Mindestmaß beschränkt ist und dass alle mit solchen Unternehmen geschlossenen Vereinbarungen Vertraulichkeitsklauseln enthalten.
13. Kontinuierliche Verbesserung
Die Konformität mit ISO/IEC 27001 und ISO/IEC 27018 beschränkt sich nicht auf die Besitzung bestimmter Zertifikate. Es ist ein kontinuierlicher Prozess, der über die Erfüllung aller in beiden Standards festgelegten Anforderungen hinausgeht – wir sind auch ständig bemüht, das ISMS zu verbessern. Aus diesem Grund führen wir bei CodeTwo interne und externe Audits durch, überprüfen alle unsere Richtlinien und Verfahren und bewerten die Risiken und Vorfälle, die mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen verbunden sind. All dies ermöglicht uns einen noch besseren Umgang mit der Informationssicherheit hinsichtlich des gesamten Betriebs.
Die Vorteile der Zertifizierung unserer Systeme für die Konformität mit ISO/IEC 27001 und ISO/IEC 27018
Durch die Einhaltung von ISO/IEC 27001 und ISO/IEC 27018 können Sie sicher sein, dass CodeTwo nur die bewährten Methoden in Bezug auf die Sicherheit von Informationen befolgt, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten zu gewährleisten. Wir bemühen uns auch, sicherzustellen, dass unsere Lösungen für Cloud- und lokale Plattformen die Grundsätzen von Privacy by Design und Privacy by Default beachten.
VERTRAULICHKEIT
Datenverschlüsselung und Zugriffskontrolle sind einige der Methoden, mit denen wir sicherstellen, dass alle Ihre persönlichen Daten jederzeit vertraulich behandelt werden – kein Unbefugter hat Zugriff darauf. Wir verarbeiten Ihre Daten zu diesem Zweck, zu welchem Sie sie uns zur Verfügung gestellt haben. Die einzigen Fälle, in denen wir Ihre Daten preisgeben können, sind in unseren Datenschutzerklärung.
INTEGRITÄT
Nur Sie können Ihre von uns gespeicherten persönlichen Daten ändern, korrigieren oder löschen. Sie können sogar unsere Verwendung Ihrer Daten einschränken. Durch die Implementierung der Versionskontrolle und der Backup-Strategie stellen wir sicher, dass die Integrität Ihrer Daten nicht gefährdet wird. Sie werden in keiner Weise geändert und bleiben jeder Zeit korrekt.
VERFÜGBARKEIT
Ihre Daten stehen Ihnen jederzeit zur Verfügung – Sie wissen, wo sie verarbeitet werden und können jederzeit den Zugriff darauf anfordern. Wir stellen sicher, dass alle unsere Systeme regelmäßig rund um die Uhr aktualisiert und aktiv überwacht werden, um maximale Verfügbarkeit und Leistung zu gewährleisten. Bei Hardwarefehlern sind wir immer bereit, auf sekundäre Spiegelservices umzusteigen.
Erfahren Sie auch, wie sicher und zuverlässig unsere Programme sind: