01.09.2022 / Kategorie: CISO
Viele Unternehmen richten sich bei der Ausgestaltung ihrer Information Security Strategie bzw. ihrer Security Policies nach dem weltweit anerkannten Standard ISO/IEC 27000 (oder kurz ISO 27k). ISO 27k besteht aus einer ganzen Serie von Standards, wobei ISO27001 2013 zuletzt revidiert wurde – im Cyber Security Bereich also vor einer Epoche. Daher war eine Aktualisierung aufgrund der technischen Entwicklung und der zunehmenden Cyber Risiken mehr als notwendig.
Zunächst zu den Basics: ISO 27001 ist die internationale Norm für das Informationssicherheitsmanagement, nach der sich Organisationen zertifizieren lassen. ISO 27002 ist eine unterstützende Norm, die Leitlinien für die Umsetzung von Informationssicherheitskontrollen enthält. Daran hat sich durch die Aktualisierung nichts geändert. Nach wie vor können sich Organisationen nach ISO 27001 zertifizieren lassen und 27002 als unterstützenden Leitfaden verwenden.
Allerdings hat die ISO 27k schon einige Jahre auf dem Buckel. Angesichts der rasanten Entwicklungen im Cyber Security Bereich war es höchst an der Zeit, die Norm zu aktualisieren. Sie besteht aus einer ganzen Serie von Standards. Die bekanntesten beiden sind sicher ISO 27001 und ISO 27002. ISO 27001 beschreibt die Anforderungen an das Information Security Management System, während ISO 27002:2013 die Security Anforderungen in insgesamt 114 Massnahmen (Controls) verteilt auf 14 Kategorien (Domains) als Empfehlungen definiert. Mittlerweile befindet sich die gesamte ISO 27k Familie in Überarbeitung. Im Februar wurde nun als erstes ISO 27002:2022 veröffentlicht, welche die 2013er Version ersetzt. Später in diesem Jahr soll dann 27001:2022 folgen. Bei den Änderungen handelt es sich nicht nur um eine Neugestaltung, sondern um eine radikale, zeitgemässe Neufassung.
Die erste Änderung finden wir bereits im Titel von ISO 27002. Dieser lautet neu Information Security, Cybersecurity and Privacy Protection — Information Security Controls. Diese Erweiterung lässt bereits auf die inhaltlichen Neuerungen schliessen.
Aus Information Technology — Security Techniques wird Information Security, Cyber Security and Privacy Protection ISO 27002:2022 umfasst neu noch 93 Controls (gegenüber 114 unter ISO 27002:2013). Diese Controls werden in 4 Domains unterteilt (gegenüber den bisherigen 14) und umfassen:
Neben einer verbesserten und aktualisierten Struktur sind vor allem die 11 neuen Massnahmen von Relevanz. Sie sorgen dafür, dass die Norm auch den Anforderungen an die IT-Sicherheit in den nächsten Jahren gerecht werden wird.
Den Controls wurde zudem ein neues Klassifizierungsschema (Attributes) verpasst, welches die Kategorisierung, in Anlehnung an NIST oder andere Standards, vereinfacht. Die Attribute umfassen:
ISO/IEC 27002:2022 wurde im Februar 2022 publiziert und ersetzt ISO/IEC 27002:2013 ISO/IEC 27001:2022 soll später in diesem Jahr veröffentlicht werden und ersetzt die 27001:2013
Zunächst einmal ist die ISO 27001:2022 aktuell noch nicht publiziert. Das heisst, alle laufenden oder anstehenden Re-zertifizierungen werden nach ISO 27001:2013 durchgeführt. In der Regel gilt dann eine Zweijahresfrist ab der Publikation, bis die neuen Controls angewendet werden müssen. Trotzdem empfiehlt es sich, sich bereits jetzt mit den Anpassungen aus ISO 27002:2022 zu beschäftigen. Insbesondere dürfte es sich lohnen, die neuen Controls bereits in den Risk Management Prozess aufzunehmen.
Es ist wahrscheinlich, dass die Zertifizierungsstellen eine gewisse Zeit brauchen werden, um die neue Norm und die Änderungen an den Kontrollen zu interpretieren und zu übernehmen, was bedeutet, dass viele Zertifizierungsstellen möglicherweise erst drei bis sechs Monate nach Veröffentlichung der Norm Bewertungen nach der aktualisierten Norm anbieten.
Die Umstellung auf die neue Taxonomie wird also einige Zeit in Anspruch nehmen. Der einfachste Weg, den Übergang zu bewältigen, besteht wahrscheinlich darin, die Risikobehandlungsprozesse zu aktualisieren und einige Abschnitte der Richtlinien und Verfahren sorgfältig zu überprüfen, denn auch dies ist Teil des kontinuierlichen Verbesserungsprozesses.
Andererseits ist es für diejenigen, die beabsichtigen, im Laufe des Jahres zum ersten Mal zu zertifizieren, ratsam, mit der - nicht obligatorischen, aber nützlichen - Analyse der neuen ISO/IEC 27002:2022 zu beginnen und mit Hilfe des Anhangs B des Leitfadens, der die Referenzen der neuen Kontrollen im Vergleich zu denen der vorherigen Version der ISO 27002 genau auflistet, an den aktuellen Konzepten zu arbeiten.
Insgesamt dürfte der Aufwand für die Aktualisierung in den meisten Organisationen aber moderat ausfallen. Die Aktualisierung bedeutet in erster Linie eine Umgruppierung von Controls. In den meisten Fällen dürfte sich das in der Aktualisierung bzw. Erweiterung von bestehenden Security Policies auswirken. Die Norm ist konzeptionell erneuert und besser auf den heutigen Kontext abgestimmt. Auch, wenn sie in Bezug auf die technische Tiefe nicht sehr ausgewogen ist, da einige Kontrollen tiefgreifend und andere weniger tiefgreifend sind, stellt sie einen hervorragenden Ausgangspunkt für die Entwicklung eines Informationssicherheitsmanagementsystems dar.
Sie möchten Ihr Unternehmen nach ISO 27001 zertifizieren lassen oder sind bereits mitten im Zertifizierungsverfahren und brauchen Unterstützung? Unsere erfahrenen Cybersecurity Experten helfen Ihnen gerne weiter. Kontaktieren Sie uns. Wir sind für Sie da.
Haben Sie Fragen zu unseren News, Events oder Blogartikeln? Nehmen Sie mit mir Kontakt auf.
Reiner Höfinger
Marketing & Communications