ISO 9001 / ISO 27001

Die externen Zertifizierungen nach ISO 9001 sowie 27001 sind Belege unseres nach innen und in der Praxis tatsächlich gelebten Qualitätsdenkens. Zertifizierungen um der Zertifikate Willen sind uns fremd, denn sie würden für uns keinen nachhaltigen Mehrwert darstellen.

ISO 9001 TQMi

Die Qualität eines Softwareproduktes wird nie per Zufall erreicht; sie ist immer die Folge des gewählten, konsequent umgesetzten und stetig verbesserten Vorgehens. Anfang 2004 begann DEVIGUS mit der Ausarbeitung eines Total-Quality-Management-Systems (TQM) nach ISO 9004. Die schrittweise Umsetzung begann im Sommer 2004, und die externe Zertifizierung nach ISO 9001 erfolgte im zweiten Quartal 2005. Unsere grundlegende Qualitätspolitik orientiert sich an folgenden Leitsätzen:

  • Prozessgruppe 1: Führung
    Offenheit, Ehrlichkeit, Motivation und Engagement sind die Grundlagen unserer Unternehmensführung.
  • Prozessgruppe 2: Personal
    Wir bieten unseren Mitarbeitern ein angenehmes Arbeitsumfeld, in welchem sie ihre Stärken einbringen können und sie bei Schwächen gefördert werden. Unsere Erwartungen sind, dass die Mitarbeiter selbstverantwortlich handeln, ihr Potenzial optimal ins Team einbringen und dadurch gesamthaft überdurchschnittliche Leistungen sicherstellen.
  • Prozessgruppe 3: Leistungserbringung
    Wir wollen unseren Kunden ihren Erwartungen entsprechend einwandfreie und zeitgerechte Produkte und Dienstleitungen anbieten. Unsere Kunden beurteilen die Qualität unserer Produkte und Dienstleistungen als überdurchschnittlich.
  • Prozessgruppe 4: Unterstützende Prozesse
    Wir organisieren uns so, dass wir effizient, kostenbewusst, qualitativ stetig auf hohem Niveau und mit hoher Selbstverantwortung aller Mitarbeiterinnen und Mitarbeiter unsere Leistungen erbringen können. Die unterstützenden Prozesse sollen uns die Arbeit im Alltag erleichtern.

TQM wurde in den 1960er-Jahren von japanischen Unternehmen eingeführt und weiterentwickelt, seit den 1980er-Jahren ist es auch in den USA und Europa verbreitet. TQM kann als Unternehmensphilosophie gesehen werden, nach der Qualität das gesamte Unternehmen durchdringen muss, d.h. sämtliche betrieblichen Prozesse sowie die Unternehmenskultur und -politik müssen ständig verbessert werden. Eckpunkte und Methoden des TQM sind u. a. Ausrichtung an den Kundenwünschen als Massstab für die Qualität (auch jeder nachfolgende Arbeitsprozess ist als Kunde zu verstehen), besondere Verpflichtung des Topmanagements zur Führung (Motivation der Mitarbeiter, Festlegung der Qualitätsstrategie), Integration aller Mitarbeiter aller Hierarchieebenen, intensive Kommunikation und Information über Arbeitsabläufe, Qualitätszirkel, Aus- und Weiterbildung.

ISO 27001 ISMS

Die Devigus Engineering AG hat sich im Rahmen des Informations Sicherheits Management Systems 27001 entschlossen, sich konsequent des Informationsschutzes anzunehmen und diesen kontinuierlich zu verbessern. Ziel ist es sowohl die internen als auch die im Rechenzentrum gehaltenen Kundendaten bezüglich Vertraulichkeit, Integrität und Verfügbarkeit optimal zu schützen. Neben einer fundierten Analyse werden Verbesserungsmassnahmen mit kurz-, mittel- und langfristigem Charakter definiert. Die getroffenen Massnahmen werden überwacht und auf deren Wirksamkeit überprüft. Zusätzlich wird mit regelmässigen Messungen die Wirksamkeit des Systems überprüft. Im Rahmen der Sicherstellung der Verfügbarkeit ist ein Business Continuity Planning erstellt worden, welches auch im Schadenfall die aufgrund von SLA’s definierten externen Verfügbarkeitszeiten garantieren kann.

Der Zweck der Sicherheitspolitik ist es die Informationswerte der Devigus Engineering AG und diejenigen der Kunden vor allen relevanten Bedrohungen in einem rechtlich einwandfreien und wirtschaftlich vertretbaren Rahmen zu schützen, seien die Bedrohung interner oder externer, absichtlicher oder versehentlicher Natur, sowie die Auswirkungen von schädigenden Ereignissen auf ein angemessenes Minimum zu reduzieren.

Die Informationssicherheit behandelt alle schützenswerten Informationen in jeglicher Form, so dass die zentralen Punkte Vertraulichkeit, Integrität und Verfügbarkeit für alle diejenigen Informationswerte sichergestellt sind, die für die Aufrechterhaltung der Geschäftsprozesse notwendig sind und / oder die aufgrund gesetzlicher Regelungen eines besonderen Schutzes bedürfen.

Die Informationssicherheitspolitik bildet die Grundlage zur Sicherstellung und zur schrittweisen Verbesserung der Informationssicherheitsprozesse gemäss ISO 27001/27002. Aus ihr leiten sich alle Massnahmen und Aktivitäten einer optimalen Sicherheit der Devigus Engineering AG ab. Die getroffenen Schutzmassnahmen sind hierbei dem Schutzbedarf angemessen, realisierbar und praktikabel. Deren Einhaltung soll die aktuelle Sicherheitslage nachhaltig verbessern.

  • Vertraulichkeit (Confidentiality)
    Informationen sind vor unbefugtem Zugriff geschützt. Nur berechtigte Personen können in den Besitz der gespeicherten, bearbeiteten oder übertragenen Informationen gelangen.
  • Integrität (Integrity)
    Die Integrität umfasst die Unversehrtheit, Vollständigkeit, Widerspruchsfreiheit und Korrektheit der Information. Vollständig sind Informationen, wenn alle Teile der Information verfügbar sind. Korrekt sind Informationen, wenn der gemeinte Sachverhalt unverfälscht beschrieben wird. Informationen werden auf dem Weg vom Sender zum Empfänger nicht verfälscht, d.h. es treten keine Verdoppelungen, Einfügungen, Änderungen, Umordnungen oder Zerstörungen von Informationen zwischen Sender und Empfänger auf.
  • Verfügbarkeit (Availability)
    Informationen, Dienstleistungen, Funktionen oder Daten sind jederzeit, soweit durch den Geschäftsprozess (Business Process) vorgegeben, für berechtigte Personen verfügbar

Die Verarbeitung von Informationen richtet sich nach einer über den ganzen Geltungsbereich einheitlichen und wirtschaftlich sinnvollen Klassifizierung aus. Der Umfang der Sicherheit und Kontrolle bestimmt sich nach dem Wert und der Bedeutung der Information (u.a. Vertraulichkeit, Integrität, Verfügbarkeit).

Besonders schützenswerte Objekte werden aufgrund ihres individuellen Schutzbedarfs klassifiziert. Für diesen Schutz werden spezielle, standardisierte Sicherheitsregeln und Massnahmen angewendet. Kann die Sicherheit trotz dieser Massnahmen nicht angemessen garantiert werden, oder stellt sich deren Umsetzung als nicht wirtschaftlich dar, so sind individuelle, auf die jeweiligen Schutzobjekte beschränkte, Risikoanalysen mit dem Ziel durchzuführen, individuelle Sicherheitsmassnahmen zu erkennen, die dem erhöhten Schutzbedarf auch gerecht werden.