Hallo an alle,
aktuell stehe ich vor der Aufgabe eine Migration der alten Controls hin zu den neuen durchzuführen.
Gibt es eine Funktion, vergleichbar mit der Aktualisierung des Kompendiums im Grundschutz, um die Migration zu vereinfachen?
Mit freundlichen Grüßen,
Marino
Hallo Herr Mendner,
als wir die Entscheidung treffen mussten, solch eine Funktion nicht anzubieten, war die Situation eher vergleichbar mit der Novellierung bzw. mit der Modernisierung des BSI IT-Grundschutzes und der Einführung des IT-Grundschutz-Kompendiums.
Sowie bei der Umstellung vom IT-Grundschutz-Katalog auf das IT-Grundschutz-Kompendium haben wir uns auch bei der Umstellung des überarbeitenden Annex A der ISO 27001 mit unseren Partnern und Kunden unterhalten und es als nicht sinnvoll bewertet (trotz der offiziellen Mapping-Tabellen der ISO 27002) eine technische Migration anzubieten, weil in der Praxis für den größten Teil der Controls erneut eine fachliche Bewertung durch die Fachverantwortlichen erfolgen muss.
Aus meiner Praxis als interner ISB bei der SerNet kann ich berichten, dass ich bei einem bereits etablierten ISM-Modell die neuen Controls in das SerNet-Modell überführt und gemäß der Mapping-Tabelle aus der ISO 27002 die neuen und alten Controls miteinander verknüpft habe. Anschließend konnte ich den Umsetzungsstatus aus bereits alten umgesetzten Controls auf die neuen übertragen und gegen die neuen Anforderungen prüfen. Die neu eingeführten Controls verbleiben ohne Verknüpfung und müssten sowieso im Unternehmen noch umgesetzt oder der Umsetzungsstatus dokumentiert werden.
Mit freundlichen Grüßen
Stanislav Striegler
