top of page

New Work trifft ISO 27001. Was nicht passt, wird passend gemacht!

Aktualisiert: 18. Sept.

Passen ISO 27001 und New Work zusammen? Stehen die Strukturen und Nachweise der Norm nicht im krassen Gegensatz zu Selbstorganisation und Werten wie Vertrauen und Flexibilität? Darum haben wir die ISO 27001 Zertifizierung nicht top-down durchgeplant. Sie war ein gemeinsamer Lernprozess der ganzen Crew. 


Miniaturversion der ISO/IEC 27001 zertifizierten Tantive
So wie's aussieht, fühlt es sich an: Domi präsentiert stolz unsere ISO/IEC 27001 zertifizierte Tantive!

Was ist eigentlich die ISO/IEC 27001 Zertifizierung? 


ISO 27001 ist die international anerkannte Norm für Informationssicherheitsmanagementsysteme (ISMS). Sie definiert Anforderungen, wie Unternehmen ihre Prozesse, Strukturen und Maßnahmen so gestalten, dass Daten und Systeme nachweislich geschützt sind. Das bedeutet vor allem, Risiken systematisch zu identifizieren und zu steuern, Prozesse, Maßnahmen und Zuständigkeiten nachvollziehbar festzuhalten und Sicherheit als fortlaufenden Zyklus zu verstehen (PDCA-Modell). Auch Themen wie Cloud-Sicherheit, Lieferkettenrisiken und Zero Trust-Ansätze sind mittlerweile fester Bestandteil. Damit wird die Norm noch relevanter für moderne IT-Umgebungen und für New-Work-Unternehmen, die agil und vernetzt arbeiten.  


Papierkram, lästige Prozesse und Pflichtübung? 


Als interner Datenschutzbeauftragter hätte ich vermutlich allen Grund, das zu bestätigen. Gemeinsam mit unserem Informationssicherheitsbeauftragten (Franz Schaaf) und einem kleinen, schlagkräftigen Team und einer leeren Confluence-Seite (die wir später nicht mehr losgeworden sind) bin ich tief in unsere Prozesse eingetaucht, um unser Informationssicherheitsmanagementsystem (ISMS) aufzubauen. Wir haben über 30 Maßnahmen definiert, mehrere hundert Seiten, die Prozesse, Rollen und Maßnahmen beschreiben dokumentiert, Awareness mit Schulungen für die Crew geschärft und Vor-Audits durchgeführt, um Schwachstellen frühzeitig zu erkennen. 

Natürlich gab es Momente, in denen ich mich gefragt habe: „Warum tun wir uns das eigentlich an?“ Aber Hand aufs Herz: Diese Frage stellt man sich in jedem guten Projekt.  


Herausforderungen & Learnings  


Das externe Audit war der Härtetest. Jeder Prozess wurde hinterfragt, jede Maßnahme geprüft. Es herrscht Nachweispflicht! Wer behauptet, etwas zu tun, muss es auch belegen: Jeder Prozess wurde hinterfragt, jede Maßnahme auf Umsetzbarkeit geprüft.   

Unsere Learnings aus der Praxis – gerade im Zusammenspiel mit New Work:  

  • Ohne Management Commitment geht es nicht, aber die Verantwortung blieb nicht oben hängen, sondern wurde über alle Funktionen hinweg gemeinsam getragen.

  • Neben Bürokratischem Aufwand schafft Dokumentation auch Transparenz. 

  • Weil Informationssicherheit als Teil unserer Eigenverantwortung verstanden wird, melden Mitarbeitende Auffälligkeiten schneller. 

  • Kulturwandel braucht Zeit. Aber unsere Unternehmenskultur lebt davon, Veränderungen gemeinsam zu tragen.  


Drei Tipps für ISO 27001 in Unternehmen mit New Work-Kultur 


Aus unserer Erfahrung können wir anderen Unternehmen Folgendes mitgeben:  

  1. Seht ISO nicht als Widerspruch – die Norm kann New Work verstärken, wenn ihr sie als Rahmen für Transparenz nutzt.  

  2. Baut auf Eigenverantwortung – Teams, die selbstorganisiert arbeiten, tragen Veränderung leichter mit.  

  3. Verknüpft Sicherheit mit Kultur – ist Informationssicherheit in der DNA verankert, funktioniert sie ohne starre Kontrollmechanismen. 


Welche Vorteile ISO 27001 bei Tantive gebracht hat  


Heute – nach bestandener Zertifizierung – sehen wir bei Tantive die Effekte ganz konkret. Strenge Norm und flexible Kultur müssen keine Gegensätze sein. Im Gegenteil, sie ergänzen sich. Unsere Kunden können sich darauf verlassen, dass wir ihre Daten nach höchsten Standards schützen, was uns vor allem in Ausschreibungen einen klaren Vertrauensvorsprung verschafft. Gleichzeitig sind unsere Prozesse transparenter geworden und Verantwortlichkeiten eindeutig geregelt, ohne dass unsere selbstorganisierte Arbeitsweise darunter gelitten hätte. ISO 27001 hat uns zudem einen spürbaren Wettbewerbsvorteil eröffnet: In öffentlichen Ausschreibungen und im Enterprise-Umfeld ist die Zertifizierung oft der Türöffner. Auch regulatorische Anforderungen wie DSGVO oder NIS-2 erfüllen wir nun nachweisbar und zugleich flexibel. Und nicht zuletzt hat sich unsere Resilienz gestärkt: Risiken werden heute systematisch bewertet und kontrolliert, was uns krisenfester macht und zeigt, dass Sicherheit und Agilität sich nicht ausschließen. 


Ich würd’s auch wieder durchziehen. Mit starkem Kaffee. Und einem leeren Confluence-Board natürlich! 


Wer mehr über unsere Art zu arbeiten erfahren will, findet hier spannende Einblicke in Jürgen's Resumé nach vier Jahren New Work.

Kommentare

bottom of page