Sandstorm ist ISO 9001 und 27001 zertifiziert

Wir freuen uns sehr, dass Sandstorm erfolgreich nach ISO 9001 und 27001 zertifiziert wurde!

Wir legen unseren Fokus schon seit Jahren auf die Themen IT-Sicherheit und Qualität und haben jetzt den konsequent nächsten Schritt unternommen, dies auch von externer Stelle bestätigen zu lassen.

Dabei kam uns zu Gute, dass wir beide Themen systemisch betrachten und uns fortlaufend fragen: Wie können wir die Qualität unserer Arbeit und die Sicherheit der uns anvertrauten Daten verbessern?

Die – in unserer Wahrnehmung – anspruchsvollere Zertifizierung des Informationssicherheitsmanagements (ISO 27001) haben wir mit wenigen Anpassungen erreicht. Im Zuge der Datenschutzgrundverordnung hatten wir unser Sicherheitskonzept schon strukturiert ausgearbeitet und dokumentiert.

Wir überprüfen unsere Sicherheitstechniken fortlaufend, um die Vertraulichkeit, Integrität und Verfügbarkeit unserer Daten sicher zu stellen. Zwei Beispiele aus der jüngeren Vergangenheit, wie wir die Sicherheit erhöhen:

1. Einsatz von Fail2ban auf unseren Servern – eine Technik, die IP Adressen, die sich wiederholt erfolglos versuchen an unseren Servern anzumelden sperrt.
2. Evaluierung von Web Application Firewalls – eine zusätzliche Schutzschicht für unsere Webanwendungen, die potentiell schädliche Anfragen herausfiltert. Manipulierte Werte in Formularen werden so schon aussortiert, bevor sie überhaupt von unseren Anwendungen ausgewertet werden.

Die Zertifizierung bestätigt insbesondere, dass unsere Prozesse und Richtlinien zur Sicherstellung der IT-Sicherheit professionell aufgestellt sind.

Seit wir uns 2013 das erste Mal über unsere Werte bei Sandstorm Gedanken gemacht haben, war Qualität darin enthalten. Das ist auch heute noch so und spiegelt sich in unserem Streben, in allem was wir tun, Qualitätsarbeit abzuliefern. Das betrifft nicht nur – aber natürlich im besonderen – unsere Softwareentwicklung. 

Unser Ziel ist es, systematisch hervorragende Qualität abzuliefern, die unsere Kunden begeistert, uns vom Wettbewerb abhebt und uns Spaß an unserer Arbeit macht. Da wir nicht überwiegend mit dem Beheben von Fehlern oder dem Reagieren auf Störungen beschäftigt sind, sondern planvoll gute Qualität erarbeiten können.

Die Anforderungen der ISO Norm nahmen wir auch zum Anlass, Dokumentationslücken zu schließen und unsere internen Schulungen und Weiterbildungen zu überprüfen und zu aktualisieren.

Wer selbst schon einmal ein Zertifizierungsaudit durchlaufen hat, weiß, dass dies ein durchaus zeitintensiver und bisweilen auch stressiger Prozess ist. Ja, auch wir haben einiges an – digitalem – Papier produziert. Wie immer, auf Sandstorm Art, mit der Frage im Mittelpunkt: Wie kann uns diese Dokumentation im Alltag konkret helfen, statt nur als "geduldiges" Papier herumzuliegen, bis es zum nächsten Audit entstaubt wird?

Und so sind diese Zertifizierungen für uns kein Ziel, sondern ein Meilenstein. Ein Zwischenergebnis, auf das wir stolz sind und das wir feiern. Ohne uns darauf auszuruhen, sondern wo wir uns bereits fragen: wie verbessern wir unsere IT-Sicherheit und unsere Qualität als nächstes?

Ein Dank gebührt an dieser Stelle auch dem Tool der DICIS, welches uns die Vorbereitung auf die Zertifizierung erleichtert und signifikant beschleunigt hat.