ISO-Zertifizierung – Korsett oder Chance?

Allgemein

Immer wieder hört man Schauergeschichten rund um standardisierte Zertifizierungen – «horrende Aufwände, beschnittener Handlungsspielraum, massive Kollateralschäden». Welchen Wahrheitsgehalt haben diese Erzählungen, wie ist es Voicepoint in der Realität auf diesem Weg ergangen und wie stehen wir heute als ISO-zertifizierte Organisation da?

«Wollt ihr euch das wirklich freiwillig antun?» – Diese Frage haben wir mehrfach gestellt bekommen, als wir im Jahr 2022 von unseren Plänen erzählt hatten, eine international angesehene Zertifizierung für Informationssicherheit (ISO-27001) anzustreben. Die kurze Antwort: «Ja». Die etwas ausführlichere: Erstmal war der Begriff «freiwillig» für uns definitionswürdig. Natürlich haben wir uns ohne direkten Zwang für den ISO-Weg entschieden, andererseits hatte das Thema Informationssicherheit und Datenschutz für uns seit der Etablierung unserer Voicepoint Cloud zunehmend an Bedeutung gewonnen. Unser Fokus auf das Gesundheitswesen mit zahlreichen öffentlichen Organisationen in unserem Kundenkreis, der Umgang mit sensiblen Patientendaten und die Stellung als Hilfsperson im Sinne des ärztlichen Berufsgeheimnisses – um nur einige Faktoren zu nennen, die nach einem Nachweis unserer Kompetenz und unseres Engagements rufen. So waren wir zur Überzeugung gelangt, dass für Voicepoint kein Weg an einem starken Statement in Form eine Zertifizierung vorbeiführt.

ISO 27001
ISO 27701

So starteten wir dann in der zweiten Jahreshälfte 2022 mutig und motiviert in das konkrete ISO-27001-Projekt: Wir schufen intern die nötigen Strukturen, Rollen und Ressourcen, evaluierten externe Beratungs- und Zertifizierungspartner und absolvierten Weiterbildungen.

Die Wahl der optimalen externen Partner war dabei sehr wichtig, noch wichtiger war aber die interne Aufmerksamkeit mit breitem Engagement bis in die Geschäftsleitung. Denn auch beim abschliessenden Audit wurde klar, dass Glaubwürdigkeit im Sinne einer gelebten Sicherheitskultur eine entscheidende Rolle spielt – wer eine solche Zertifizierung nur wegen der Plakette machen will, wird wohl mehr Zeit brauchen und unnötig Ressourcen binden, ohne einen echten Mehrwert für das Unternehmen zu generieren. Wir hingegen nutzten die Chance, um Lücken zu schliessen und die Sicherheits-Awareness unternehmensweit zu verankern. Definitionen, Pläne und Dokumentationen sind unerlässlich, viel wichtiger ist aber ein transparentes, glaubwürdiges Doing – und eben dieses Doing führte auch zum erfolgreichen Abschluss des Projekts.

So hat es Voicepoint geschafft, gastfreundlich zu bleiben, aber ungebetenen Gästen massive Hürden in den Weg zu stellen; den Austausch lebendig zu halten, aber Datenflüsse zu regulieren und kriminelle Annäherungsversuche im Keim zu ersticken; das Team zu sensibilisieren, ohne ein enges Korsett umzuschnallen; technische Infrastrukturen robuster zu machen, ohne unsere Lösungen unkomfortabler zu machen; und mit unseren Kundinnen und Kunden klare Rahmenbedingungen zu formulieren, ohne den wertschätzenden Servicegedanken aufzugeben. Wir haben unser Verhalten an vielen Stellen angepasst, nicht aber unsere Werte.

Würden wir es also wieder tun? Unbedingt, auch wenn es definitiv kein Spaziergang ist. Ermutigt durch das erfolgreiche Erstzertifizierungsprojekt haben wir im 2024 dann auch die Messlatte mit der zusätzlichen ISO-27701-Zertifizierung mit dem Fokus auf Datenschutz nochmals höher gelegt. Ausserdem sind diese Zertifizierungen keine abgeschlossenen Projekte, sondern eine kontinuierliche Reise mit dem fortwährenden Anspruch an ständige Verbesserung – und das passt sehr gut zur Voicepoint-Mentalität.