Diese Story ist aus der Kategorie Internet und Domains 

Ein Zertifikat für die Registrierungsstelle

Die Domain-Namen Registrierungsstelle ist ISO27001 zertifiziert. Weshalb? Was beinhaltet es? Was bringt es für die Zukunft?

Text: Christa Falkensammer, publiziert am 08.09.2014

Die Sicherheitsbeauftragte von SWITCH beantwortet die wichtigsten Fragen rund um das Informationssicherheits-Managementsystem der Domain-Namen-Registrierungsstelle.

Weshalb liess sich SWITCH zertifizieren?

Das Domain Namen System, welches von SWITCH betrieben wird, gehört zu den kritischen Infrastrukturen der Schweiz. Ein Ausfall hätte schwerwiegende Auswirkungen auf die Bevölkerung und die Wirtschaft. SWITCH verfügt deshalb über mehrfache und mehrstufige Absicherungen des Domain Namen Systems (siehe Artikel "Wenn Zuverlässigkeit kein Zufall ist" ). Darüber hinaus wollten wir, eine zusätzliche Sicherheitsstufe in Form eines Informationssicherheits- Managementsystems (ISMS) aufbauen und dieses nach ISO27001 zertifizieren lassen. ISO27001 ist der weltweit angewendete Standard für die Zertifizierung eines ISMS. Das ISMS hat zum Ziel, die Informationen basierend auf einer Analyse der Geschäftsrisiken bezüglich Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.

Was beinhaltet der Aufbau und die Zertifizierung eines ISMS?

SWITCH gründete im vergangenen Jahr einen Informationssicherheitsausschuss (ISA), welcher auf Führungsstufe Sicherheitsleitlinien erarbeitet, Risikoanalysen beurteilt und Massnahmen zur Verbesserung der Informationssicherheit plant. Die Sicherheitsbeauftragte leitet den ISA . Sie nimmt vom ISA Aufträge entgegen und ist für den Betrieb und die laufende Verbesserung des ISMS verantwortlich.

Um die kritischen Geschäftsprozesse zu evaluieren, führten wir eine Business Impact Analyse durch, und leiteten Notfallszenarien und Massnahmen zur Verminderung und Schadensminimierung ab. Damit der Geschäftsbetrieb auch bei Störungen und Notfällen so schnell wie möglich wiederhergestellt werden kann haben wir einen praxisorientierten Incident Management Prozess definiert und in Notfallübungen mehrfach getestet.

Die Beratungsfirma AWK Group hat SWITCH beim Aufbau des ISMS unterstützt. Nach dieser intensiven Phase hat die Firma SQS SWITCH nach ISO 27001 zertifiziert. Damit gehören wir zu den ersten europäischen Registrierungsstellen, die ein zertifiziertes ISMS haben.

Was bringt dies für die Zukunft?

Wir teilen unsere Erfahrung mit anderen Registrierungsstellen, damit die Sicherheit des Gesamtsystems der Domain-Namen erhalten bleibt und wir sie auf eine nächsthöhere Stufe führen können. Auch bei den Schweizer Hochschulen kommt die Einführung eines ISMS auf die Traktandenliste. SWITCH wird ihre Erfahrung an sie weitergeben.

SWITCH wird sich jedoch nicht auf den Lorbeeren ausruhen: Der kontinuierliche Verbesserungsprozess ist ein ganz zentrales Element des ISMS, welches in allen Phasen und Abläufen verankert ist. Sicherheit ist kein Zustand den man erreicht, sondern ein Prozess. Das nächste Zwischenaudit durch SQS steht schon bald an: Nach der Zertifizierung ist vor der Zertifizierung.

Über den Autor
Christa   Falkensammer

Christa Falkensammer

Christa Falkensammer ist bei SWITCH für das Informationssicherheits-Managementsystem verantwortlich und nimmt die Rolle des Sicherheitsbeauftragten (CISO) war. Zuvor absolvierte Sie an der Fachhochschule Nordwestschweiz einen Bachelor und einen Master of Science in Wirtschaftsinformatik.

E-Mail
Weitere Beiträge