Die DENIC eG ist als Betreiber kritischer Infrastruktur in Deutschland nach den internationalen Normen für ein Informationssicherheitsmanagement (ISMS) – ISO/IEC 27001 und Business Continuity Managementsystem (BCMS) – ISO/IEC 22301 zertifiziert.
Dies erfordert ein hohes Maß an kontinuierlicher Weiterentwicklung und Verbesserung in den dafür bestehenden Anforderungen hinsichtlich der Umsetzung. DENIC hat hierzu ein mehrstufiges System interner und externer Audits etabliert.
Alle drei Jahre erfolgt ein Re-Zertifizierungsaudit, um die Voraussetzungen für eine Verlängerung der Zertifizierung zu prüfen. Im September erfolgte das Re-Zertifizierungsaudit für das Business Continuity Managementsystem (BCMS) – ISO/IEC 22301, welches nun mit dem Erhalt des Auditberichts ohne Abweichungen erfolgreich abgeschlossen werden konnte. Das entsprechende Zertifikat wurde für DENIC ausgestellt und ist für weitere drei Jahre gültig. Im Jahr 2023 steht die Re-Zertifizierung für das Informationssicherheitsmanagement (ISMS) nach ISO/IEC 27001 an.
Wissenswertes zum mehrstufigen Auditierungsvorgehen bei DENIC
Interne Audits in Kooperation mit den Registries nic.at, SIDN und SWITCH
Viermal im Jahr treffen sich die Chief Information Security Officer (CISOs) der Registries DENIC (Deutschland), nic.at (Österreich), SWITCH (Schweiz und SIDN (Niederlande), um sich über aktuelle Security-Themen auszutauschen und im Rahmen der 2-tägigen Treffen jeweils ein internes Audit nach der internationalen Norm für ein Information Security Management System (ISMS) durchzuführen.
Das Vierer-Gespann verfolgt dabei einen kooperativen Ansatz, mit dem gegenseitig der Erfüllungsgrad der Anforderungen nach ISO 27001 überprüft wird. Vor allem profitieren alle Beteiligten vom Erfahrungsaustausch und den gegenseitigen Empfehlungen, die auf eine kontinuierliche Verbesserung des Security-Niveaus zielen. Dazu arbeiten sie gemeinsam daran, den Grad der Umsetzung bezogen auf die Normkapitel zu überprüfen und haben das Ziel, dies im Zyklus von drei Jahren für alle Kapitel aus der Norm durchzuführen.
2015 wurde dieses Kooperationsprojekt sogar mit dem CENTR Award in der Kategorie „Sicherheit“ ausgezeichnet und auch sieben Jahre danach schöpfen alle Beteiligten weiterhin einen großen Mehrwert für die Weiterentwicklung der Informationssicherheitsmanagementsysteme daraus.
Jährliche externe Überwachungsaudits
Zusätzlich unterzieht sich DENIC einmal jährlichen einem sogenannten Überwachungsaudit. Dabei prüfen externe Auditoren die beiden Managementsysteme auf potenzielle Abweichungen und geben Hinweise auf mögliche Verbesserungen.