NorthGRC wurde soeben nach ISO 27001 rezertifiziert. Das erfüllt uns mit Stolz – aber das Zertifikat selbst ist nicht das Entscheidende. Entscheidend ist, was es für Sie als Kunden bedeutet.
Ein Zertifikat lässt sich leicht als bloße Bestätigung abtun, dass man die Dinge im Griff hat. Doch eine Zertifizierung leistet etwas Grundlegendes: Sie räumt Annahmen aus dem Weg. Im Prozess wird man gezwungen, konkret über alle Bereiche der IT-Umgebung und der internen Richtlinien nachzudenken – und sich mit dem tatsächlichen Bedrohungsumfeld auseinanderzusetzen, nicht mit dem, was man im Tagesgeschäft für selbstverständlich hält.
Für uns ist die Zertifizierung deshalb ein Prozess, der uns zwingt, unsere eigene Plattform zu nutzen, unsere Annahmen zu hinterfragen und Neues zu lernen. Jede Zertifizierungsrunde gibt dieses Wissen in Form eines besseren Produkts, schärferer Beratung und eines Anbieters, dem Sie vertrauen können, direkt an Sie weiter.
Bei NorthGRC unterstützen wir Unternehmen in den Bereichen Governance, Risk und Compliance. Deshalb liegt es für uns nahe, selbst voranzugehen – und genau das macht die Zertifizierung sichtbar, erklärt Martin André Jønck, CEO von NorthGRC:
- Wir verkaufen nicht nur eine GRC-Plattform, wir führen unser Unternehmen nach ihr. Die ISO 27001-Zertifizierung dokumentiert, dass unsere internen Prozesse und Kontrollen nach denselben Leitlinien gestaltet sind, die wir unseren Kunden empfehlen. Das bedeutet auch, dass unsere Plattform auf Erfahrungen aus der Praxis basiert – nicht auf theoretischen Frameworks, sagt er.
Erfahrung ist jedoch nichts, was man einmal erwirbt und dann besitzt. ISO 27001 erfordert kontinuierliche Aufmerksamkeit. Unternehmen, die eine Zertifizierung als Einjahresprojekt behandeln, stellen häufig fest, dass das Zertifikat schnell eine Wirklichkeit beschreibt, die längst nicht mehr existiert.
Für uns ist die Zertifizierung deshalb ein langfristiges Vorhaben – und zugleich ein jährlicher Anlass, zu überprüfen, ob wir unseren eigenen Ansprüchen noch gerecht werden.
- Die ISO 27001-Zertifizierung dient auch dazu, zu bestätigen, dass unser Tool zu 100 % out-of-the-box funktioniert. Indem wir uns im eigenen System zertifizieren lassen, überprüfen wir jährlich, ob die Plattform genau das liefert, was für die Erfüllung höchster Standards erforderlich ist, erklärt Martin André Jønck.
Es braucht keine große Organisation, um ein Zertifizierungsniveau aufrechtzuerhalten, wenn die Aufgaben sinnvoll strukturiert sind. Bei NorthGRC wenden fünf Mitarbeitende pro Monat jeweils einen halben Tag für ISO 27001 auf – das entspricht etwa einer Stunde pro Woche und Person. Und die Zertifizierung belegt: Das reicht.
Eine GRC-Plattform ist im Kern ein Instrument, das Vertrauen schafft: Wenn wir Kontrollen implementieren und dokumentieren, Bedrohungen behandeln und Risiken mitigieren, erzeugen wir intern Vertrauen in die Sicherheit – und nach außen Dokumentation, die dieses Vertrauen belegt.
Ein Unternehmen kann ISO 27001 einhalten, ohne zertifiziert zu sein. Als Anbieter finden wir es jedoch sinnvoll und wertvoll, den nächsten Schritt zu gehen:
- Wenn wir Jahr für Jahr von einem unabhängigen Experten zertifiziert werden, fügen wir eine zusätzliche Vertrauensebene hinzu. Durch die Prüfung und Bestätigung unserer Arbeit gibt der externe Auditor die Garantie, dass wir nicht nur sagen, was wir tun – sondern auch tun, was wir sagen, erklärt Martin André Jønck.
NorthGRC ist von Anfang an zertifiziert und gehörte zu den ersten Anbietern mit einer Zertifizierung auf dem dänischen Markt. Das bedeutet: Die NorthGRC-Plattform wurde durch die praktischen Anforderungen geprägt, die ein Zertifizierungsprozess mit sich bringt.
Als Kunde können Sie sicher sein, dass die Plattform in der Praxis getestet und validiert wurde – nicht nur in einer kontrollierten Testumgebung.
Kein Test kann Erfahrungen aus dem echten Einsatz ersetzen. Das gilt auch für unsere GRC-Plattform. Wer Software entwickelt, läuft Gefahr, nur den vorgesehenen Weg von A nach B zu testen – den sogenannten „Happy Path".
In der Praxis gehen Kunden diesen Weg nicht immer.
Es braucht echten Einsatz, um die Stellen zu finden, an denen die Erfahrung hakt. Das erklärt Jakob Holm Hansen, Chief Product Owner bei NorthGRC:
- Wir brauchen schlicht Situationen, in denen der Prozess nicht selbstverständlich zur Plattform passt. Dabei hilft es uns, die Plattform für echte Aufgaben zu nutzen – nicht nur für Tests. Die ISO 27001-Zertifizierung ist deshalb ein enormer Vorteil für uns, sagt er.
Praxiserfahrungen sammeln wir natürlich auch, wenn unsere Beraterinnen und Berater Implementierungen bei Kunden durchführen. Gemeinsam mit unseren eigenen Erfahrungen bei der Nutzung der Plattform kommen dabei Erkenntnisse zutage, die eine kontrollierte Demo nicht aufdecken kann.
Wir entdecken, wo die Benutzeroberfläche intuitiver gestaltet, Abläufe vereinfacht und Funktionen verbessert werden können.
Auch der Auditor bringt seinen Teil ein: Er kommt von außen, mit professionellem Blick und unverstelltem Blickwinkel. Ein guter Auditor zeigt Zusammenhänge und Wege auf, um Prozesse einfacher und logischer aufzubauen. Dieses Feedback fließt direkt in die Produktentwicklung ein.
- So entsteht ein Rückkanal, der direkt in die Produktentwicklung einfließt – besonders im Bereich Usability. Wir gewinnen konkrete, verwertbare Einblicke, entdecken intelligentere Wege, die Benutzeroberfläche zu gestalten, und stoßen auf neue sinnvolle Funktionen, sagt Jakob Holm Hansen.
Für Sie als Nutzer bedeutet das: Jede Zertifizierungsrunde hinterlässt die Plattform ein Stück besser als zuvor. Und die Erfahrungen, die wir durch unseren eigenen Einsatz sammeln, stärken unsere Fähigkeit, Ihnen dabei zu helfen, noch mehr aus der Plattform herauszuholen.
Viele Unternehmen sind unsicher, was es für ihre Daten und ihre Compliance bedeutet, wenn ein Anbieter neue Technologien wie KI einführt. Das ist eine vollkommen berechtigte und wichtige Frage.
Unsere Erfahrung zeigt: Wer seine Vorarbeit sorgfältig leistet, dem ist überraschend viel möglich. Das hat uns die jüngste Rezertifizierung bestätigt.
Wir sind dabei, KI-Unterstützung in unsere Plattform zu integrieren, und haben dafür eine detaillierte Risikoanalyse durchgeführt, Prozesse dokumentiert und Mitarbeitende durch Awareness-Trainings vorbereitet.
Eine Vorarbeit, die dem Auditor aufgefallen ist und die Ihnen als Kunden zugutekommen wird, erklärt Lone Forland, Product Expert bei NorthGRC:
- Wenn Kunden irgendwann Zugang zu KI auf unserer Plattform erhalten, können sie darauf vertrauen. Mit der ISO 27001-Zertifizierung haben wir nachgewiesen, dass wir die Vorarbeit geleistet haben und Risiken, Prozesse sowie die menschliche Aufsicht fest im Griff haben, sagt sie.
Wer systematisch vorgeht, erlebt die Einführung neuer Technologien nicht als Überwältigung – denn unterwegs werden potenzielle Hindernisse sichtbar und handhabbar.
Dasselbe gilt für die Zertifizierungsarbeit insgesamt: Alles wird in überschaubare Aufgaben aufgeteilt. Das verringert den Druck und unterstützt den Gedanken der kontinuierlichen Verbesserung – denn auch dieser ist fest in der Arbeit verankert.
- Die Arbeit mit ISO 27001 ist nie abgeschlossen. Deshalb ist die gesamte Plattform auf einen fortlaufenden Prozess ausgerichtet. Jedes Mal, wenn der Auditor sah, dass wir kontinuierlich Verbesserungen vorgenommen hatten, hellte sich seine Miene auf. Dieses Lob ist eine Bestätigung, dass wir den Fokus richtig gesetzt haben, erzählt Lone Forland.
Der Jahreskreis, unsere zyklische Jahresplanung in der Plattform, war das Erste, das wir entwickelt haben – weil wir wussten, dass Compliance-Arbeit nur dann funktioniert, wenn sie zur Gewohnheit wird.
Wenn der Auditor den kontinuierlichen Prozess lobt, bestätigt dies, dass das Fundament der Plattform richtig aufgebaut ist.
Wer in eine GRC-Plattform investiert, kauft mehr als nur Funktionen und Frameworks. Er investiert in den Ansatz eines Anbieters – in seine Disziplin, seine Erfahrung und seine Bereitschaft, sich weiterzuentwickeln.
Genau deshalb ist die Zertifizierung für Sie relevant. Sie belegt, dass Sie einen Anbieter haben, der praktiziert, was er predigt – und das nachweisen kann. Dass die Plattform, in die Sie investieren, bei jedem realen Einsatz ein Stück besser wird. Und wenn neue Technologien wie KI Einzug in Ihren Alltag halten, haben wir bereits die notwendigen Überlegungen angestellt – damit Sie nicht bei Null anfangen müssen.
Und Sie müssen uns nicht beim Wort nehmen. Genau das bestätigt ein unabhängiger Auditor jedes Mal aufs Neue, wenn wir rezertifiziert werden.
Möchten Sie mehr darüber erfahren, wie NorthGRC Ihrem Unternehmen helfen kann, Compliance als kontinuierlichen Arbeitsprozess zu verankern? Vereinbaren Sie eine Demo oder sprechen Sie unverbindlich mit uns.