Im September haben wir und unser Tochterunternehmen DENIC Services GmbH & Co. KG das Umstellungsaudit auf die aktuelle Version der Norm für Informationssicherheits-Managementsysteme ISO 27001 erfolgreich abgeschlossen. Unser Tochterunternehmen hat seit 2022 eine eigenständige Zertifizierung, sodass beide Unternehmen separat zur Umstellung geprüft wurden.
Was waren die konkreten Aufgaben?
Im ersten Schritt musste für die Änderungen in der Version der ISO/IEC 27001:2022 eine Gap-Analyse erfolgen, um einen detaillierten Überblick über die erforderlichen Schritte zu bekommen. Die Neuerungen in der 2022er Version betreffen hauptsächlich die im so genannten Anhang-A definierten Maßnahmen.
Die elf neuen Maßnahmen sind u.a. darauf ausgelegt, vor neuen Bedrohungen wie Cloud-Computing und Social Engineering zu schützen. Die neuen Maßnahmen sollen auch die Effektivität von Informationssicherheits-Managementsystemen verbessern, indem sie mehr Optionen zur Risikominderung bieten. Sie betreffen z.B. solche, die Threat Intelligence, Information Security bei Nutzung von Clouddiensten oder Secure Coding adressieren.
Insgesamt gibt es 93 dieser klassifizierten Maßnahmen, die Organisationen anwenden können, um der Vorgabe zur Behandlung von Informationssicherheitsrisiken (entsprechend der Norm) nachzukommen.
Schnell wird klar, dass auch das Risikomanagement, d.h. die systematische Identifikation, Analyse und Bewertung von Risiken für die Informationssicherheit und die anschließende Risikobehandlung, an die neuen Vorgaben der ISO/IEC 27001:2022 angepasst werden musste.
Interne Audits als Probelauf
Eine weitere Anforderung ist, dass alle Kapitel und Maßnahmen im Rahmen von internen Audits geprüft werden. Da kam die Initiative der DACH-Registries, die schon über zehn Jahre besteht, gerade recht. Gemeinsam mit den Security-Kollegen von Switch und nic.at wurden die gegenseitigen Audits durchgeführt.
In diesem Jahr war auch die DENIC Services GmbH & Co. KG mit in der Experten-Runde dabei und hat wertvolle und nützliche Anregungen für die Migration auf die aktuelle Norm für Informationssicherheit, Cybersicherheit und Datenschutz erhalten.
Erfolgreiche Audits
Mit der Vorbereitung auf die Umstellungsaudits, die schließlich Anfang September stattfanden, hatten DENIC und DENIC Services alle Hände voll zu tun – von der Gap-Analyse über das Risikomanagement bis zu den internen Audits, und das nicht nur im Team für Informationssicherheit.
Dank des Einsatzes aller Mitarbeitenden ist die Umstellung auf die neue Version ein echter gemeinsamer Erfolg geworden.
