Neben dem Betrieb und dem Servicemanagement ist ab sofort auch die Softwareentwicklung der PASS Consulting Group nach dem international etablierten Sicherheitsstandard ISO/IEC 27001 zertifiziert. Das Zertifikat umfasst dabei gleich vier Gesellschaften, die u.a. Leistungen für Banken und Versicherer sowie für die öffentliche Hand und die Reisebranche erbringen.
Der Zertifizierung ging eine detaillierte Überprüfung durch Deloitte Certification Services voraus, die jährlich wiederholt wird. Für den ASP- und BPO-Betrieb der Lösungen zur Zulagenverwaltung nach dem Altersvermögensgesetz sowie für den Betrieb und das Service Management sowie das Application Management seines Kernbankensystems ist PASS bereits seit mehreren Jahren zertifiziert. Davon ausgehend wurde der ISO 27001-Anwendungsbereich sukzessive auf weitere Geschäftsfelder mit hohem Schutzbedarf ausgedehnt, darunter Systeme, die für die öffentliche Hand sowie die Reisebranche betrieben werden. Nun ist die finale Ausbaustufe erreicht – sämtliche Gesellschaften, die sicherheitssensitive Dienstleistungen erbringen, sind zertifiziert: die PASS IT-Consulting Dipl.-Inf. G. Rienecker GmbH & Co. KG (Aschaffenburg), die PASS MULTIBANK Solutions AG (Seevetal), die PASS Banking Solutions GmbH (Bad Mergentheim) und die PASS Consulting Corporation (Miami). Das umfasst neben Betrieb und Servicemanagement auch die Lösungsentwicklung.
Sicherheit mit Konzept
Rückgrat des Sicherheitskonzepts ist ein Risikomanagement, das ein permanent hohes Qualitätslevel und eine kontinuierliche Überwachung sicherstellt, wie Stefan Luckhaus, Informationssicherheitsbeauftragter bei PASS erklärt: „Unser IT-Sicherheitsmanagement basiert auf eigenentwickelten Werkzeugen wie dem PASS Risk Advisor, der allen Gesellschaften Zugang zu einem intelligenten, regelbasierten Risikomanagement bietet und die Unternehmensleitung mit zentralen, konsolidierten Berichten unterstützt.“ Dabei ist das Verfahren zur Analyse von Risiken nicht nur konform zur ISO 27001, sondern auch zum BSI-Grundschutz sowie zu den MaRisk (Mindestanforderungen an das Risikomanagement) und BAIT (Bankaufsichtliche Anforderungen an die IT).