Neben unseren bereits bestehenden Zertifizierungen nach ISO 27001 und NEN 7510 (die Norm für Informationssicherheit im niederländischen Gesundheitswesen), ist Minddistrict nun auch ISAE 3000-konform. Aber was bedeuten diese Standards und Zertifizierungen eigentlich? Wir erzählen Ihnen mehr darüber.
Zunächst einmal: Worum geht es?
ISAE 3000 steht für Informationssicherheit. Genau wie auch andere Zertifizierungen, über die Sie hier mehr erfahren, z. B. NEN und ISO.
Informationssicherheit bedeutet, dass die Daten unserer Kunden sicher sind. Konkret bedeutet das: Sind die Daten verfügbar, wenn sie angefordert werden? Sind die Daten korrekt und vollständig? Und werden die Daten vertraulich behandelt?
Und wie funktioniert das?
Es ist bekannt, wie man z. B. eine Bank sichert, aber wie sichert man Informationen?
Eigentlich ist der Unterschied gar nicht so groß. Man sichert Informationen, indem man alle möglichen technischen und organisatorischen Maßnahmen ergreift, um zu verhindern, dass etwas mit den Daten passiert.
In einer Bank zum Beispiel sorgt man dafür, dass es eine starke Tresortür gibt (technische Maßnahme). Und man sorgt dafür, dass nicht jeder, der in die Bank kommt, den Tresorraum betreten kann. Das überlässt man bestimmten Mitarbeitenden, die ein Protokoll befolgen müssen (organisatorische Maßnahme).
Mit den Daten ist es eigentlich dasselbe.
ISO, NEN und ISAE befassen sich mit der Informationssicherheit
Was sagen diese Zertifizierungen aus?
Tatsächlich hat Minddistrict bereits mehrere Zertifizierungen: NEN 7510 und ISO 27001. Einfach gesagt, zeigen diese Zertifizierungen, dass wir die richtigen Maßnahmen ergreifen und uns daran halten.
Das gibt Vertrauen. Man bringt sein Geld nicht zu einer Bank, wenn man glaubt, dass es unsicher ist. Das Gleiche gilt für eine E-Health-Plattform. Unsere Kunden müssen darauf vertrauen können, dass wir unsere Angelegenheiten in Ordnung haben. NEN und ISO geben dieses Vertrauen.
Eine Zertifizierung zeigt, dass ein Unternehmen Maßnahmen zur Datensicherheit ergriffen hat
Was ist mit der neuen Zertifizierung ISAE? Warum wird sie benötigt?
Es gibt “gut” und es gibt “ausgezeichnet”. Um noch einmal auf das Tresorbeispiel zurückzukommen: Auf der einen Seite gibt es einen guten, starken Tresor. Auf der anderen Seite gibt es dann einen fantastischen, unknackbaren Tresor.
ISO und NEN sind gut, solide und robust. Und dann gibt es noch ISAE 3000. Das ist der allerhöchste Standard, wenn es um Informationssicherheit geht.
Und was bedeutet die “3000” in der Zertifizierung?
Wir wollen Sie mit der Zahl nicht zu sehr verwirren. In der Praxis gibt es eine ganze Reihe davon: ISAE 3402 befasst sich zum Beispiel mit der Finanzberichterstattung. Und bei ISAE 3000 geht es um die Bereitstellung einer IT-Umgebung oder eines IT-Dienstes.
Minddistrict ist eine Software-Plattform. Wir bieten Software-as-a-Service-Dienste an. Und ISAE 3000 ist ein international anerkannter Informationssicherheitsstandard, der sich auf diese Art von Dienstleistung konzentriert.
ISAE 3000 ist ein international anerkannter Standard für IT-Dienstleistungen und der allerhöchste Standard für Informationssicherheit
Genau genommen hat Minddistrict die Zertifizierung ISAE 3000 Type 1 C5. Was bedeutet das?
Es wird unterschieden zwischen Type 1 und Type 2 – die sind eigentlich ganz einfach zu verstehen. Type 1 kann man sich wie ein Foto vorstellen, Type 2 ist eher wie ein Film.
Minddistrict hat jetzt Type 1. Das beschreibt eine Momentaufnahme, also eine Messung zu einem bestimmten Zeitpunkt und Datum. Man macht sozusagen ein Foto, um zu zeigen, dass alle Kontrollmaßnahmen zu diesem Zeitpunkt ordnungsgemäß durgeführt werden. Type 2 ist noch sicherer und in unserem Beispiel eher wie ein Film. Type 2 zeigt, dass alle Maßnahmen ein ganzes Jahr lang funktioniert haben.
Minddistrict hat gerade das Foto gemacht und wir haben mit dem Film begonnen. Der nächste Schritt ist also Type 2, aber das wird erst einmal Zeit brauchen.
Und was ist mit C5?
C5 ist eine Abkürzung und steht für Cloud Computing Compliance Criteria Catalogue. Dabei handelt es sich um einen Rahmen von Anforderungen für sichere Cloud-Computing-Dienste. Er wurde vom deutschen Bundesamt für Sicherheit in der Informationstechnik ausgearbeitet.
Was man sich in dieser Hinsicht merken kann: die wirklich großen professionellen Cloud-Anbieter, wie Microsoft, KPN, IBM usw., entscheiden sich für ISAE 3000, um ihre Kunden zu beruhigen. Das ist der höchste Standard, den man erreichen kann, und geht über ISO und NEN hinaus. Und Minddistrict hat ihn jetzt auch.
Warum ist Minddistrict die Zertifizierung wichtig?
Auch wenn wir sicherlich nicht so groß sind, wie die großen Anbieter, die wir oben genannt haben, sind wir dennoch in Deutschland sehr aktiv: Einige deutsche Krankenhäuser und Einrichtungen nutzen unsere E-Health-Plattform bereits. Und nach den neuen Vorschriften in Deutschland dürfen öffentliche Einrichtungen – also auch Krankenhäuser – nur noch mit Anbietern zusammenarbeiten, die dieses ISAE-Zertifikat haben. Und wir haben es jetzt.
Wie erwähnt ist ISAE 3000 ein international anerkannter Standard, er ist also nicht nur in Deutschland nützlich. So haben auch unsere Kunden in den Niederlanden die Gewissheit, dass die Informationssicherheit bei Minddistrict nicht nur gut, sondern ausgezeichnet ist.
Was noch gut zu wissen ist? Das Compliance-Team von Minddistrict brauchte nur vier Monate, um den ISAE-Bericht zu erstellen. Das ist sehr kurz! Normalerweise dauert ein ISAE-Prozess mindestens ein Jahr – oder länger. Dass unser Compliance-Team dies in einem Drittel der Zeit bewältigen konnte, zeigt, dass alle Fragen der Informationssicherheit bereits unglaublich gut gelöst waren.
Eine kurze Zusammenfassung:
Minddistrict hat eine neue Zertifizierung zur Informationssicherheit. Es gab bereits eine ISO- und eine NEN-Zertifizierung, aber jetzt gibt es auch die ISAE 3000 Type 1. ISAE ist ein international anerkannter Standard. Wenn Gesundheitsorganisationen und Nutzer:innen Fragen oder Bedenken bezüglich der Datensicherheit bei der Nutzung von E-Health haben, geben diese Zertifizierungen Sicherheit und Vertrauen.
Möchten Sie mehr erfahren?
Möchten Sie mehr über unsere Zertifizierungen erfahren oder mit unserem Compliance-Team sprechen?
Oder schauen Sie sich dieses Video an, in dem unsere Mitarbeiterin Cristina erklärt, was Compliance bedeutet: