07. Nov 2022

Welche Änderungen auf die Branche zukommen

Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?

Robert Jamnik, Head of Audit Services der CIS, berichtet in diesem Newsartikel über bevorstehende Änderungen bei Normen, Standards & Co. und geht darauf ein, welche Chancen sich dadurch in der Praxis ergeben.

Die gute Nachricht zuerst: Das Managementsystem per se ändert sich nicht. Der Kern der Norm ISO 27001 für „Informationstechnologie – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ (bzw. der Managementsystem Kapitel 4-10) wird sich mit der 2022 Revision also nicht ändern. Dies gilt somit für alle Betriebe, die ein Managementsystem nach ISO 27001 implementiert haben.

Die zweite gute Nachricht: Der Anhang A (Annex A) der ISO 27001 wurde überarbeitet und weist eine gänzlich neue Kapitelstruktur sowie vier neue praxisnahe Themenbereiche (gegliedert in: organisatorisch, personell, physisch und technisch) und neue Attribute (Maßnahmen) auf.

Hand in Hand mit der ISO 27001 geht immer auch die ISO 27002 – diese beinhält rund 93 allgemeine Maßnahmen (= Controls), welche bei der Erfüllung der Anforderungen der ISO 27001 helfen sollen. Der neue Titel der Norm  weist darauf hin, dass die Themen Cyber Security und Privacy Protection einen höheren Stellenwert in der ISO 27001 Normenwelt bekommen haben.

Dieser neue Fokus schlägt sich auch in den neuen Maßnahmen der ISO 27002 bzw. des Anhang A der ISO 27001 nieder:

  • Threat control bzw. Threat intelligence

    Betriebe werden künftig gefordert sein, Informationen über Bedrohungen und Angriffstools laufend zu erheben und ins Managementsystem – auf strategischer, taktischer und operativer Ebene – zu integrieren.

  • Informationssicherheit bei der Verwendung von Cloud Services

    Der gesamte Lebenszyklus von cloudbasierten Services – von der Auswahl über den Betrieb bis hin zum Ausstieg – muss begleitet werden.

  • Löschen von Informationen

    Informationen, die man nicht besitzt, kann man nicht verlieren. Dieses Konzept, das bereits aus der DSGVO bekannt ist, erlangt in der neuen Version der Norm einen höheren Stellenwert. Diese Maßnahme bezieht sich auf das Löschen aller sensitiven Informationen, die nicht mehr benötigt werden – und nicht (wie etwa im Falle der EU-DSGVO) lediglich auf personenbezogene Daten. Somit müssen generell alle Daten, die nicht mehr benötigt werden, gelöscht werden.

  • Physical security monitoring

    Standorte müssen auf nicht autorisierte Zutritte überwacht werden.

  • Management der Konfiguration

    Die Bedeutung einer aktuellen und vollständigen Dokumentation der Konfigurationen von Software, Hardware, Services und Netzwerken wird deutlich herausgestrichen.

  • Business Continuity Anforderungen an die IKT (Informations- und Kommunikationstechnik)

    Betriebe müssen konkrete Anforderungen zur Aufrechterhaltung der IKT-Infrastruktur erarbeiten und diese umsetzen

  • Datenmaskierung

    Das Minimalitätsprinzip in seiner Ausprägung bei der Verwendung von Daten erhält in der neuen Version der Norm ein eigenes Sicherheitscontrol. Die Konzepte, wie wir sie schon aus z. B. der Datenschutzgrundverordnung kennen, finden somit konkreten Eingang in den Anhang A der 27001:2022. Die zentrale Fragestellung „Welche Daten müssen für die einzelnen Prozessschritte tatsächlich zur Verfügung stehen?“ ist an dieser Stelle neu zu beantworten.

  • Verhinderung von Datenverlusten (data leakage prevention)

    Maßnahmen zur Verhinderung und dem Erkennen von Datendiebstahl sind zu entwickeln und bezogen auf die Risiken der Organisation einzusetzen.

  • Secure coding

    Secure Coding als eigene Disziplin der Softwareentwicklung wird stärker in den Fokus gerückt. Die relevanten Konzepte dazu betreffen den gesamten Softwareentwicklungszyklus und bringen als Ergebnis Software mit deutlich weniger oder optimalerweise keinen Sicherheitslücken.

  • Überwachung

    Die durchschnittliche Erkennungsrate von Sicherheitsvorfällen von 212 Tagen sowie zusätzlich weitere 75 Tage, um darauf zu reagieren, unterstreicht, worum es in diesem Sicherheitscontrol geht. Netzwerke, Systeme und Applikationen sollten kontinuierlich hinsichtlich Anomalien beobachtet werden, um zeitnah entsprechende Maßnahmen durchzuführen.

  • Web filtering

    Der Zugang zu nicht vertrauenswürdigen oder kompromittierten Websites muss verhindert werden, um die eigene Infrastruktur zu schützen.

Und was bedeutet das für Sie in der Praxis?

Die dritte Version der ISO 27001:2022 trägt das Datum 2022-10. Die entsprechend der festgelegten Übergangsfrist von 3 Jahren müssen alle nach ISO 27001:2013 zertifizierten Managementsysteme bis spätestens Ende September  2025 umgestellt sein, da die ISO 27001:2013 Zertifikate dann ihre Gültigkeit verlieren.

1 Jahr nach der Veröffentlichung wird die Zertifizierungsinstanz CIS Neu- und Erstzertifizierungen nur noch nach dem neuen Standard durchführen. Bei Überwachungs- oder Re-Zertifizierungsaudits kann laufend auf den neuen Standard umgestellt werden.

Zusammenfassend lässt sich also sagen, dass der Anhang A auf einen neuen, den aktuellen Stand der Technik Rechnung tragenden Stand gebracht wurde. Um auch weiterhin sowohl dem Stand der Technik als auch der sich verändernden Bedrohungslage Rechnung zu tragen, sollten sich Unternehmen bereits früher als später mit Faktoren wie Risikomanagement, Überarbeitung der Sicherheitsmaßnahmen und des Auditprogramms auseinandersetzen.

 

Wir freuen uns auf Ihre Anfragen!

Sie haben Fragen zum neuen Standard bzw. was genau das für Ihr Unternehmen oder Ihre Organisation bedeutet? Melden Sie sich bei uns – die Experten der CIS stehen Ihnen jederzeit für Rückfragen zur Verfügung!

Weitere News & Events

Immer topaktuell informiert

30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

30. Nov 2022

Gesucht: Prüfer*in Netz- und Informations­sicherheit (NIS) (m/w/d)

30. Nov 2022

Neue ISO/IEC 27001:2022 – Das müssen Unternehmen jetzt wissen

15. Nov 2022

Informationssicherheit in einer Kultur der offenen Türen

Science Security Series: Gastkommentar der FH St. Pölten

Mehr erfahren
26. Sep 2022

41-jähriger Sicherheits-Experte ist heimischer „CISO of the Year“

Österreichs beste Chief Information Security Officer geehrt

Mehr erfahren
21. Sep 2022

Experten präsentieren Strategien gegen Cyber-Attacken auf Betriebs­technologie

Das war der CIS Compliance Summit 2022

Mehr erfahren
12. Sep 2022

Wer ist der beste CISO im ganzen Land?

Nicht mehr lange und der Titel „CISO of the Year 2022“ wird erstmals beim diesjährigen CIS Compliance Summit an die oder den besten Chief Information Security…

Mehr erfahren
19. Aug 2022

ISO/IEC 27001:2022 – was ist neu?

Was bedeutet die Revision der ISO 27001 für Unternehmen?

Mehr erfahren
08. Aug 2022

6 kritische Faktoren der ISMS Umsetzung

Kritische Faktoren der ISMS Umsetzung

Mehr erfahren
28. Jul 2022

Global Threat Report 2022: was Sie jetzt wissen müssen!

Zusammenfassung aktueller Cyber Trends und Angriffe

Mehr erfahren
20. Jul 2022

Sommer­gespräch mit DI Helmut Leopold, PhD

Sichere digitale Zukunft durch beherrschbare Digitalsysteme

Mehr erfahren
19. Sep 2023

Event: CIS Compliance Summit 2023

Security | Privacy | Continuity

Mehr erfahren
+43 732 34 23 22