Die Sicherheit der höchst vertraulichen Informationen und Daten seiner Kunden hat für DiliTrust Data Room oberste Priorität. Aus diesem Grund ist die Lösung ISO 27001-zertifiziert. Aber was genau umfasst diese Datenschutznorm?
Die ISO/IEC 27001-Zertifizierung wurde erstmals im Oktober 2005 geschaffen und 2013 erneut überarbeitet. Sie ist die am weitesten anerkannte internationale Sicherheitsnorm. Sie betrifft alle Arten von Organisationen, wie z. B. Handelsunternehmen und Verwaltungen. Sie war der Nachfolger der Norm BS 7799-2 der British Standards Institution (BSI)-Gruppe, in der sich eine Gruppe von Einrichtungen zusammengeschlossen hat, die sich mit Normung, Zertifizierung, Schulung und Konformitätskontrolle befassen. Das Wichtigste an der ISO/IEC 27001 ist, dass sie die Datensicherheit über das Risiko betrachtet.
In diesem Sinne definiert sie die Anforderungen für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Das Ziel ist es, Funktionen und Informationen vor Verlust, Diebstahl oder Veränderung zu schützen. Andererseits schützt es auch die Computersysteme vor Hackerangriffen oder Katastrophen. Auf diese Weise ist es zu einer Vertrauensgarantie geworden und stellt ein wichtiges Unterscheidungsmerkmal für Unternehmen dar, die über diese Zertifizierung verfügen. Dies ist der Fall bei DiliTrust Data Room.
ISO/CEI 27001 NORM: BETRIEB
Das Managementsystem für Informationssicherheit (ISMS) hat einen globalen Rahmen geschaffen, der nicht nur technisch, sondern auch organisatorisch ist und Informationssysteme, Prozesse und Schlüsselakteure, die an Schutzmaßnahmen beteiligt sind, zusammenbringt. In diesem Sinne ermöglicht die ISO/IEC 27001-Zertifizierung den Anwendern, Kontrollpunkte zu validieren, um die Bedeutung des ISMS-Rahmens zu gewährleisten. Jedes ermittelte Risiko basiert auf einer Kennzahl, die die Wahrscheinlichkeit des Eintretens und die Auswirkungen bei Eintreten des Risikos berücksichtigt. Auf diese Weise kann die Unternehmensleitung die geeigneten Maßnahmen zur Risikominderung, -vermeidung, -teilung und -akzeptanz auswählen. Letztere werden dann in einem speziellen, obligatorischen Dokument erwähnt: der Erklärung über die Anwendbarkeit. Damit ist die Definition des Risikobehandlungsplans abgeschlossen.
ISO 27001-ZERTIFIZIERUNG: KONSTANTE PROZESSE UND ENTWICKLUNGEN
Diese spezifische Zertifizierung erstreckt sich über dreijährige Zyklen. Während dieses Zeitraums führen unabhängige Stellen ein Erstaudit und anschließend zwei Überwachungsaudits durch; die nachfolgenden Zyklen beginnen mit einem Verlängerungsaudit. Diese unabhängigen Stellen sind nach ISO 27006 zertifiziert. Ihre Aufgabe ist es, sicherzustellen, dass Abweichungen oder Nichtkonformitäten ordnungsgemäß behandelt werden. Mit anderen Worten: Ein Unternehmen, das sein ISMS zertifizieren lassen möchte, hat ein starkes Interesse daran, eine genaue und kontinuierliche Überwachung nicht nur der Risiken, sondern auch der gewählten Sicherheitsmaßnahmen durchzuführen. Diese Perspektive impliziert einen Prozess der kontinuierlichen Verbesserung der Sicherheit, um ihr Niveau zu erhöhen und die Risikokontrolle zu verbessern. Dies bedeutet auch, dass der Einsatz von Maßnahmen, die als zweitrangig eingestuft werden, reduziert wird.
VORTEILE DER ISO 27001-ZERTIFIZIERUNG
DiliTrust Data Room wird von seinen Kunden mit strategischen Informationen betraut. Diese Tatsache erfordert ein hohes Maß an Sicherheit. Aus diesem Grund ist DiliTrust Data Room nach ISO 27001 zertifiziert. Sein ISMS erfüllt sowohl die technischen Anforderungen als auch die Anforderungen an Management, Aktualisierung und Verbesserung. Die Sicherheit umfasst die Verschlüsselung der Daten, sowohl bei der Übertragung als auch im Ruhezustand, die Verwendung eines HSM, regelmäßige Audits und eine strenge und anspruchsvolle Sicherheitspolitik. Dazu gehören auch interne Sicherheitsaudits, Code-Reviews und systematische Tests, bevor jede neue Funktion für die Produktion freigegeben wird, sowie automatisierte und tägliche Intrusionstests. Die Server von DiliTrust Data Room werden außerdem ein- bis zweimal im Jahr von einer externen IT-Sicherheitsorganisation überprüft. Auf der Kundenseite wird jeder Benutzer durch einen starken Benutzernamen und ein Passwort identifiziert. Die Verschlüsselung der Daten erfolgt systematisch. Sie erfolgt über das TLS-Protokoll mit der höchsten Verschlüsselungsstufe (256 Bit).
