Wie wir uns ISO 27001 und 9001 zertifiziert haben: Ein Blick hinter die Kulissen

ALLGEMEIN
Die ISO 27001 und ISO 9001 Zertifizierungen sind mehr als nur ein schickes Siegel auf unserer Website. Sie sind ein Zeichen dafür, dass wir uns den höchsten Standards in den Bereichen Informationssicherheit und Qualitätsmanagement verschrieben haben. Doch wie sieht der Weg zur Zertifizierung aus? Hier werfen wir einen Blick hinter die Kulissen und teilen unsere Erfahrungen.

Aber eines ist sicher: Wir haben in dieser Zeit mehr Koffein getrunken als so mancher Barista ☕
DSC08653 (1)

Was sind ISO 27001 und ISO 9001 überhaupt?

Bevor wir in den Prozess eintauchen, ein kurzer Überblick:

  • ISO 27001: Diese Norm legt fest, wie ein Informationssicherheits-Managementsystem (ISMS) aufgebaut und betrieben wird, um Daten systematisch zu schützen. Sie umfasst klare Richtlinien für den Schutz sensibler Informationen, die Identifikation potenzieller Risiken und die Implementierung geeigneter Sicherheitsmassnahmen. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in allen Unternehmensbereichen zu gewährleisten.
     
  • ISO 9001: Diese Norm definiert die Anforderungen an ein Qualitätsmanagementsystem (QMS), das darauf abzielt, die Kundenzufriedenheit durch effiziente Prozesse und kontinuierliche Verbesserung zu steigern. Sie fordert eine systematische Analyse und Optimierung aller geschäftsrelevanten Abläufe, um eine höchstmögliche Qualität von Produkten und Dienstleistungen zu sichern.

 

Unsere Motivation

Warum haben wir uns überhaupt entschieden, den Zertifizierungsprozess anzugehen? Die Antwort liegt in zwei wesentlichen Beweggründen:

  • Vertrauen schaffen: Kunden und Partner erwarten klare Standards. Die Zertifizierungen sind ein sichtbares Zeichen für Sicherheit und Qualität – sie signalisieren, dass wir nicht nur hohe Ansprüche stellen, sondern diese auch erfüllen. ✅
     
  • Optimierte Prozesse: Der Zertifizierungsprozess zwang uns dazu, unsere Abläufe einmal auf den Prüfstand zu stellen. Es war wie ein grosser Frühjahrsputz, bei dem wir jede Ecke unseres Qualitätsmanagements durchforstet haben 🧹. Das Ergebnis? Effizientere Strukturen, mehr Transparenz und eine Arbeitsweise, die nicht nur uns, sondern auch unseren Kunden zugutekommt. 🚀

Die Schritte zu den Zertifizierungen

1. Vorbereitung: Status Quo analysieren

Zu Beginn wurde eine Bestandsaufnahme durchgeführt: Welche Prozesse sind bereits gut aufgestellt? Wo gibt es Verbesserungspotenzial? Diese erste Analyse half uns, den Weg für die weiteren Schritte zu bestimmen.

2. Teams einbinden

Ein solches Projekt erfordert Teamarbeit. Wir haben Kolleginnen und Kollegen aus verschiedenen Bereichen eingebunden – eine Kombination aus erfahrenen Fachkräften und motivierten Neulingen, die mit frischen Perspektiven zum Erfolg beitrugen.🥇 Dabei zeigte sich schnell: Es ist nicht entscheidend, ein Experte zu sein, sondern die Bereitschaft, sich intensiv einzuarbeiten, macht den Unterschied. 💪

3. Prozesse dokumentieren

Eine der grössten Herausforderungen war die umfassende und detaillierte Dokumentation. Jede relevante Richtlinie, jeder Prozess und jede Sicherheitsmassnahme mussten klar definiert und nachvollziehbar beschrieben werden. Dies war entscheidend, um nicht nur die Zertifizierung zu erlangen, sondern auch eine nachhaltige Grundlage für kontinuierliche Verbesserungen zu schaffen.

Für ISO 27001 lag der Fokus auf:

  • Erstellung eines Risikomanagementplans: Hierbei wurden potenzielle Risiken für die Informationssicherheit identifiziert, bewertet und entsprechende Gegenmassnahmen definiert.
Bildschirmfoto 2025-01-23 um 11.19.20
  • Definition von Zugangsrechten: Es wurden klare Regeln aufgestellt, wer Zugriff auf welche Daten und Systeme hat, um unbefugten Zugriff effektiv zu verhindern.
     
  • Statement of Applicability (SoA): Dieses Dokument fasst alle relevanten Sicherheitskontrollen zusammen, die für das Unternehmen gelten, und erklärt, warum bestimmte Kontrollen implementiert oder ausgeschlossen wurden.
     

Für ISO 9001 konzentrierten wir uns auf:

  • Kundenzufriedenheitsanalysen: Systematische Befragungen und Feedbackschleifen wurden eingeführt, um die Bedürfnisse und Erwartungen unserer Kunden besser zu verstehen und zu erfüllen. 🤝
     
  • Lieferantenmanagement: Es wurden Kriterien und Prozesse entwickelt, um die Auswahl, Bewertung und Zusammenarbeit mit unseren Lieferanten zu optimieren.

Die Kombination aus diesen detaillierten Dokumentationen und klaren Prozessen bildete das Rückgrat unseres Zertifizierungsprozesses.
 

4. Schulungen und Sensibilisierung

Wir haben Schulungen organisiert, um alle Kolleg:innen mit den neuen Anforderungen vertraut zu machen. Ziel war es, nicht nur die Prozesse zu erklären, sondern auch das Verständnis für die Bedeutung der Normen zu vertiefen. Besonders für ISO 27001 war ein Bewusstsein für Informationssicherheit essentiell. Neben Fakten durfte auch der ein oder andere praktische Tipp nicht fehlen – denn Sicherheit beginnt oft schon bei kleinen Dingen wie der Wahl eines guten Passworts. 🔒

Bildschirmfoto 2025-01-27 um 09.27.03-1833x1146
Bildschirmfoto 2025-01-23 um 11.21.41-2267x1416

5. Interne Audits: Der Probelauf

Bevor es ernst wurde, haben wir interne Audits durchgeführt. Diese halfen uns, Schwachstellen zu erkennen und zu beheben, bevor externe Prüfer ins Spiel kamen. Manchmal fühlte es sich an wie eine Generalprobe vor einem grossen Auftritt – nervenaufreibend, aber enorm hilfreich. 🎭
 

6. Externe Audits

Im finalen Schritt wurden unsere Prozesse und Dokumentationen von Cédéric von Attesta auf Herz und Nieren geprüft. Die positiven Rückmeldungen zeigten, dass sich die harte Arbeit gelohnt hat. Besonders der Moment, in dem das "Bestanden" ausgesprochen wurde, war für das ganze Team ein Highlight. 🏆

Herausforderungen auf dem Weg

Wie bei jedem grossen Projekt gab es auch hier Stolpersteine:

  • Zeitaufwand: Die umfangreiche Dokumentation und Vorbereitung verlangte Disziplin und Organisation. Manchmal war der Kalender unser grösster Gegner. ⏳
     
  • Change Management: Nicht alle waren sofort von den Veränderungen begeistert. Ein offener Dialog war der Schlüssel, um alle mit ins Boot zu holen. 💬
     
  • Komplexität: Besonders bei der ISO 27001 stiessen wir auf komplexe technische Anforderungen, die eine enge Zusammenarbeit mit unserem IT-Team erforderten.

Was wir gelernt haben

  • Frühe Planung ist entscheidend: Je klarer die Rollen und Verantwortlichkeiten zu Beginn definiert sind, desto reibungsloser verläuft der Prozess.
     
  • Kommunikation ist der Schlüssel: Regelmässige Updates und offene Gespräche haben dazu beigetragen, alle Beteiligten an Bord zu holen.
     
  • Externe Unterstützung nutzen: Ein erfahrener Berater war Gold wert, um uns durch die Anforderungen zu führen. 🥇 Ein grosses Dankeschön an dieser Stelle an Thomas von Abrima Consulting, der uns auf diesen Weg zur jeder Tageszeit zu Seite stand. 

    Und ja, auch ChatGPT hat mit Ideen, Struktur und kreativen Ansätzen geholfen 🤖.

Was bedeutet das für unsere Kunden?

Die Zertifizierungen sind nicht nur ein interner Meilenstein, sondern auch ein Versprechen an unsere Kunden. Sie bedeuten:

  • Mehr Sicherheit: Deine Daten sind bei uns in besten Händen. Mit ISO 27001 haben wir Massnahmen implementiert, die sicherstellen, dass sensible Informationen jederzeit geschützt sind. Ob es sich um Zugriffsrechte oder regelmässige Risikoanalysen handelt – unser Fokus liegt darauf, deine Daten zuverlässig abzusichern. 🔐
     
  • Mehr Qualität: Unsere Prozesse sind darauf ausgelegt, deinen Erwartungen nicht nur zu erfüllen, sondern zu übertreffen. ISO 9001 sorgt dafür, dass wir kontinuierlich daran arbeiten, unsere Leistungen zu verbessern, Feedback umzusetzen und höchste Standards zu garantieren. Von optimierten Abläufen bis hin zu einer verbesserten Kundenerfahrung profitierst du direkt von unseren Zertifizierungen.

Kurz gesagt: Wir haben diese Standards nicht nur für uns eingeführt, sondern vor allem für Dich. Deine Zufriedenheit und dein Vertrauen sind unser Antrieb, kontinuierlich besser zu werden.

badges

Fazit

Der Weg zu den ISO 27001 und 9001 Zertifizierungen war anspruchsvoll, aber lohnend. Wir haben nicht nur unser Unternehmen weiterentwickelt, sondern auch gezeigt, dass wir bereit sind, die Extrameile zu gehen – für unsere Kunden, unsere Partner und unser Team. 💪

Hast du Fragen zum Zertifizierungsprozess oder möchtest du wissen, wie wir diese Standards in der Praxis umsetzen? Wir freuen uns auf den Austausch!

DSC09268 neu-3166x4223
Der Autor ✏️ /

Ramon Rainer

“Du hast noch Fragen oder willst ein Projekt realisieren? Schreib mir gerne eine E-Mail, ruf mich an oder komm gleich auf eine Tasse Kaffee im ongoing-Büro vorbei.”

✉️ E-Mail schreiben: ramon.rainer@ongoing.ch
🤙 Oder ruf mich einfach an: +41 41 783 12 70
👋 Hast du Fragen?
Logo
swiss made software
ongoing GmbH

Wir schaffen technisch hochstehende digitale Lösungen auf Basis von tiefem User-Verständnis – damit du in der digitalen Welt erfolgreich bist.

Hinterbergstrasse 34
6312 Steinhausen
🤙 +41 41 783 12 80
✉️ info@ongoing.ch
Zertifiziert
ISO 27001ISO 90001