In Zuge dessen werden die Richtlinien und Vorgaben sowie Prozesse zur Steigerung der Informationssicherheit turnusgemäß je nach Gültigkeit auf Aktualität überprüft und ggf. in Abstimmung mit dem ISB angepasst. Zu diesem Zweck muss natürlich auch die Umsetzung von ISMS-Anforderungen und Dokumentation überwacht und beurteilt werden. Die Dokumentation beinhaltet schriftliche Anweisungen, Verfahren, Pläne, Richtlinien und andere Informationen, die für die Steuerung, Organisation und Überwachung der Prozesse notwendig sind. In der Historie der Dokumentation werden stets Änderungsgrund und -datum erfasst, um eine durchgängige Revisionssicherheit zu gewährleisten.
Freilich geht es nicht ohne eine stetige Weiterentwicklung des Informationssicherheits-Risikomanagements nach den DSGVO-Grundsätzen von Vertraulichkeit, Integrität und Verfügbarkeit. Das heißt, dass Unternehmens-Assets, also Mitarbeiter, Hardware oder angebotene Dienstleistungen, einer Risikoanalyse im Hinblick auf diese Werte unterzogen werden, um zu bewerten, ob ein Risiko akzeptabel ist, oder durch geeignete Maßnahmen minimiert werden muss.
Die Ergebnisse der Risikoanalyse und deren Ergebnisse werden entsprechend festgehalten und notwendige Maßnahmen ergriffen. Zu diesen Maßnahmen gehören in jedem Fall regelmäßige Schulungen des Personals, die es zu erstellen, planen und nach Durchführung zu dokumentieren gilt. Dadurch wird eine grundsätzliche Sensibilisierung der Mitarbeiter zum Thema Informationssicherheit gewährleistet.
Ein weiterer Aufgabenbereich des ISO-Koordinators ist die Vorbereitung und Koordination interner ISMS-Audits sowie externer ISO-Zertifizierungsaudits. Eine ISO-Zertifizierung hat eine Gültigkeit von drei Jahren: im ersten und zweiten Jahr erfolgt ein Überwachungsaudit, im dritten Jahr erfolgt eine Re-Zertifizierung, bei der der Prüfungsumfang wie beim ersten Prüfungsaudit erfolgt.
Zu guter Letzt kümmert sich der ISO-Koordinator um die Überprüfung und Einschätzung der aktuellen Bedrohungslage auf Basis der aktuellen Sicherheitshinweise des Warn- und Informationsdienst des Bundesamts für Sicherheit in der Informationstechnik (BSI). Diese werden auf der Webseite des BSI abgerufen und können anhand des CVSS-Score eingeschätzt werden. CVSS steht für Common Vulnerability Scoring System, also „Allgemeines Bewertungssystem für Schwachstellen“, und ist ein Standard zur Bewertung des Schweregrades von möglichen oder tatsächlichen Sicherheitslücken in Computer-Systemen.
Das nächste Zertifizierungsaudit wird Mitte 2025 nach der neuen Version ISO 27001:2022 abgenommen. Der Fokus liegt hier bei der Prozessorientierung, sowie Ergänzungen und Umstrukturierung der Anforderungen, um der aktuellen Cybersicherheit gerecht zu werden. Hier ist mit einem erheblichen Mehraufwand im Vorfeld der Umstellung zu rechnen. Der Mehraufwand ist jedoch notwendig, um auf einem hohen Informationssicherheits-Niveau zu bleiben.