ISO-27001-Zertifizierung

Optimizely Campaign's Sicherheitsmanagement

Mit der international maßgeblichen Zertifizierung nach ISO/IEC 27001:2013 durch den TÜV SÜD erhalten Sie als Nutzer von Optimizely Campaign die Garantie, dass das Sicherheitskonzept für Betrieb, Service und Entwicklung der Optimizely Versandplattform international anerkannte Standards in puncto Daten- und Informationssicherheit erfüllt.

In dem externen, mehrstufigen Audit wurden sämtliche Prozesse zur Erzeugung, Implementierung, Ausführung, Kontrolle, Aufrechterhaltung und Optimierung der Informationssicherheit geprüft.

Zusätzlich zu den rein technisch-organisatorischen Maßnahmen wird auch der Umgang mit Informationen im Unternehmen beleuchtet. Denn neben Angriffen auf das Datennetz muss auch menschliches Fehlverhalten bedacht und abgesichert werden.

Vorteile

Die international anerkannte Zertifizierung von Informationsverarbeitungssystemen nach ISO/IEC 27001:2013 bietet Ihnen bereits bei der Auswahl eines geeigneten E-Mail-Marketing-Dienstleisters eine Vergleichsmöglichkeit mit anderen Anbietern und Systemen. Mit der Zertifizierung können Sie sicher gehen, dass Ihre Daten bei Optimizely nach definierten, anerkannten Standards geschützt und gegen unerlaubten Zugriff gesichert sind. Die Zertifizierung umfasst dabei auch den laufenden Betrieb und Support der Versandinfrastruktur. Optimizely Campaign punktet hierbei mit einer hochverfügbaren, ausfallsicheren und leistungsstarken Infrastruktur.

Was beinhaltet die ISO/IEC 27001:2013?

Die ISO/IEC 27001:2013 prüft und bewertet die folgenden Bereiche und Unterbereiche:

  1. Informationssicherheits-Management. Das Informationssicherheits-Management bewertet Arbeitsprozesse, Funktionalität und Infrastruktur von Optimizely Campaign hinsichtlich der Gefährdung, Risikobehandlung und Verantwortlichkeit. Es bildet den IST-Zustand ab und dient als Basis für die PDCA-Leitlinien zur kontinuierlichen Verbesserung der Informationssicherheit.
  2. PDCA-Leitlinien zur kontinuierlichen Verbesserung der Informationssicherheit. Die Leitlinien für den Plan-Do-Check-Act-Prozess definieren in vier Phasen, welche Maßnahmen geeignet sind, die Informationssicherheit zu erfassen und zu evaluieren; geeignete Maßnahmen einzuführen und umzusetzen; diese Maßnahmen laufend auf ihre Wirksamkeit zu überprüfen und schließlich alle Maßnahmen im laufenden Betrieb zu warten, zu verbessern und Mängel abzustellen.
  3. Inventarverzeichnis. Hier sind alle Assets des Unternehmens erfasst. Jedes Asset wird hinsichtlich seiner Priorität für die Informationssicherheit bewertet und ein Verfahrensverzeichnis erstellt, dass alle Prozesse dieses Assets abbildet.
  4. Gefährdungsmaßnahmen-Matrix. In dieser Matrix werden alle implementierten Sicherheitsmaßnahmen einer konkreten Gefährdung zugeordnet. Aus dieser Zuordnung können Restrisiken bestimmt werden und es wird sicher gestellt, dass in allen Prozessen zu jedem Zeitpunkt stets nur ein minimales Restrisiko auftritt.
  5. Compliance. Mit diesem Bereich wird sicher gestellt, dass sich alle Prozesse in allen Bereichen im korrekten rechtlichen Rahmen bewegen und konform zu den vom Gesetzgeber vorgeschriebenen Standards sind.

Wie und durch wen wird die Zertifizierung vorgenommen?

Die Zertifizierung erfolgt in einem mehrstufigen Prozess durch einen externen Dienstleister. Die Zertifizierung von Optimizely Campaign wurde durch den TÜV Süd durchgeführt. Der Zertifizierungsprozess umfasst die folgenden Schritte/Phasen:

  1. Prüfung auf Zertifizierbarkeit. Wird vor Beginn der eigentlichen Zertifizierung durchgeführt.
  2. Zertifizierungs-Audits durch den TÜV Süd. Mehrstufige Audits in allen sicherheitsrelevanten Bereichen des Unternehmens.
  3. Überwachungs-Audits. Jährlich durchgeführte Audits, die die Einhaltung der Standards gewährleisten. Daneben wird geprüft, ob und wie das Informationssicherheitsmanagement weiter entwickelt und verbessert wurde. Dies ist eine Voraussetzung für die Zertifizierung.
  4. Rezertifizierung. Alle drei Jahre wird das Zertifikat in einem umfassenden Audit analog zum Zertifizierungs-Audit (siehe Punkt 2) erneuert.