07. Nov 2022

Welche Änderungen auf die Branche zukommen

Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?

Robert Jamnik, Head of Audit Services der CIS, berichtet in diesem Newsartikel über bevorstehende Änderungen bei Normen, Standards & Co. und geht darauf ein, welche Chancen sich dadurch in der Praxis ergeben.

Die gute Nachricht zuerst: Das Managementsystem per se ändert sich nicht. Der Kern der Norm ISO 27001 für „Informationstechnologie – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ (bzw. der Managementsystem Kapitel 4-10) wird sich mit der 2022 Revision also nicht ändern. Dies gilt somit für alle Betriebe, die ein Managementsystem nach ISO 27001 implementiert haben.

Die zweite gute Nachricht: Der Anhang A (Annex A) der ISO 27001 wurde überarbeitet und weist eine gänzlich neue Kapitelstruktur sowie vier neue praxisnahe Themenbereiche (gegliedert in: organisatorisch, personell, physisch und technisch) und neue Attribute (Maßnahmen) auf.

Hand in Hand mit der ISO 27001 geht immer auch die ISO 27002 – diese beinhält rund 93 allgemeine Maßnahmen (= Controls), welche bei der Erfüllung der Anforderungen der ISO 27001 helfen sollen. Der neue Titel der Norm  weist darauf hin, dass die Themen Cyber Security und Privacy Protection einen höheren Stellenwert in der ISO 27001 Normenwelt bekommen haben.

Dieser neue Fokus schlägt sich auch in den neuen Maßnahmen der ISO 27002 bzw. des Anhang A der ISO 27001 nieder:

  • Threat control bzw. Threat intelligence

    Betriebe werden künftig gefordert sein, Informationen über Bedrohungen und Angriffstools laufend zu erheben und ins Managementsystem – auf strategischer, taktischer und operativer Ebene – zu integrieren.

  • Informationssicherheit bei der Verwendung von Cloud Services

    Der gesamte Lebenszyklus von cloudbasierten Services – von der Auswahl über den Betrieb bis hin zum Ausstieg – muss begleitet werden.

  • Löschen von Informationen

    Informationen, die man nicht besitzt, kann man nicht verlieren. Dieses Konzept, das bereits aus der DSGVO bekannt ist, erlangt in der neuen Version der Norm einen höheren Stellenwert. Diese Maßnahme bezieht sich auf das Löschen aller sensitiven Informationen, die nicht mehr benötigt werden – und nicht (wie etwa im Falle der EU-DSGVO) lediglich auf personenbezogene Daten. Somit müssen generell alle Daten, die nicht mehr benötigt werden, gelöscht werden.

  • Physical security monitoring

    Standorte müssen auf nicht autorisierte Zutritte überwacht werden.

  • Management der Konfiguration

    Die Bedeutung einer aktuellen und vollständigen Dokumentation der Konfigurationen von Software, Hardware, Services und Netzwerken wird deutlich herausgestrichen.

  • Business Continuity Anforderungen an die IKT (Informations- und Kommunikationstechnik)

    Betriebe müssen konkrete Anforderungen zur Aufrechterhaltung der IKT-Infrastruktur erarbeiten und diese umsetzen

  • Datenmaskierung

    Das Minimalitätsprinzip in seiner Ausprägung bei der Verwendung von Daten erhält in der neuen Version der Norm ein eigenes Sicherheitscontrol. Die Konzepte, wie wir sie schon aus z. B. der Datenschutzgrundverordnung kennen, finden somit konkreten Eingang in den Anhang A der 27001:2022. Die zentrale Fragestellung „Welche Daten müssen für die einzelnen Prozessschritte tatsächlich zur Verfügung stehen?“ ist an dieser Stelle neu zu beantworten.

  • Verhinderung von Datenverlusten (data leakage prevention)

    Maßnahmen zur Verhinderung und dem Erkennen von Datendiebstahl sind zu entwickeln und bezogen auf die Risiken der Organisation einzusetzen.

  • Secure coding

    Secure Coding als eigene Disziplin der Softwareentwicklung wird stärker in den Fokus gerückt. Die relevanten Konzepte dazu betreffen den gesamten Softwareentwicklungszyklus und bringen als Ergebnis Software mit deutlich weniger oder optimalerweise keinen Sicherheitslücken.

  • Überwachung

    Die durchschnittliche Erkennungsrate von Sicherheitsvorfällen von 212 Tagen sowie zusätzlich weitere 75 Tage, um darauf zu reagieren, unterstreicht, worum es in diesem Sicherheitscontrol geht. Netzwerke, Systeme und Applikationen sollten kontinuierlich hinsichtlich Anomalien beobachtet werden, um zeitnah entsprechende Maßnahmen durchzuführen.

  • Web filtering

    Der Zugang zu nicht vertrauenswürdigen oder kompromittierten Websites muss verhindert werden, um die eigene Infrastruktur zu schützen.

Und was bedeutet das für Sie in der Praxis?

Die dritte Version der ISO 27001:2022 trägt das Datum 2022-10. Die entsprechend der festgelegten Übergangsfrist von 3 Jahren müssen alle nach ISO 27001:2013 zertifizierten Managementsysteme bis spätestens Ende September  2025 umgestellt sein, da die ISO 27001:2013 Zertifikate dann ihre Gültigkeit verlieren.

1 Jahr nach der Veröffentlichung wird die Zertifizierungsinstanz CIS Neu- und Erstzertifizierungen nur noch nach dem neuen Standard durchführen. Bei Überwachungs- oder Re-Zertifizierungsaudits kann laufend auf den neuen Standard umgestellt werden.

Zusammenfassend lässt sich also sagen, dass der Anhang A auf einen neuen, den aktuellen Stand der Technik Rechnung tragenden Stand gebracht wurde. Um auch weiterhin sowohl dem Stand der Technik als auch der sich verändernden Bedrohungslage Rechnung zu tragen, sollten sich Unternehmen bereits früher als später mit Faktoren wie Risikomanagement, Überarbeitung der Sicherheitsmaßnahmen und des Auditprogramms auseinandersetzen.

 

Wir freuen uns auf Ihre Anfragen!

Sie haben Fragen zum neuen Standard bzw. was genau das für Ihr Unternehmen oder Ihre Organisation bedeutet? Melden Sie sich bei uns – die Experten der CIS stehen Ihnen jederzeit für Rückfragen zur Verfügung!

Weitere News & Events

Immer topaktuell informiert

04. Apr 2024

Exklusives Führungskräfte­training für NIS 2

Machen Sie Ihr Unternehmen fit für die neue Richtlinie

Mehr erfahren
03. Apr 2024

CIS tritt der Austrian Data Center Association (ADCA) bei

Neue Kooperation

Mehr erfahren
01. Apr 2024

Smarte Compliance für Rechenzentren

NISG und EN 50600

Mehr erfahren
28. Mrz 2024

ISO 42001 – die neue Norm für Künstliche Intelligenz

Weltweit erster Standard für KI

Mehr erfahren
26. Mrz 2024

Verlängerte Einreichfrist: jetzt bis 30. April 2024 anmelden!

Österreichs “CISO of the Year 2024” gesucht

Mehr erfahren
29. Feb 2024

Die Zukunft von KI und Data Ownership

KI und Datenschutz: Neue Unsicherheiten

Mehr erfahren
27. Feb 2024

Verlieren wir durch Künstliche Intelligenz (KI) die Kontrolle über unsere Daten?

Ein Balanceakt zwischen KI, Informationssicherheit und Data Ownership

Mehr erfahren
15. Feb 2024

EN 50600 fördert Nachhaltigkeit

Wie passen Ressourcenfresser Rechenzentren und der European Green Deal zusammen?

Mehr erfahren
05. Feb 2024

Aktueller Stand zur Normenentwicklung EN 50600

Update für Rechenzentren 2024

Mehr erfahren
31. Jan 2024

CIS ist erste Prüfstelle für EN 50600

31. Jan 2024

Neue Firmenadresse

Wir sind umgezogen!

Mehr erfahren
29. Jan 2024

CISO of the Year: Ihr persönlicher Karrierebooster

CISO of the Year 2023 Marcel Lehner

Mehr erfahren
+43 1 532 98 90