Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?
Robert Jamnik, Head of Audit Services der CIS, berichtet in diesem Newsartikel über bevorstehende Änderungen bei Normen, Standards & Co. und geht darauf ein, welche Chancen sich dadurch in der Praxis ergeben.
Die gute Nachricht zuerst: Das Managementsystem per se ändert sich nicht. Der Kern der Norm ISO 27001 für „Informationstechnologie – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ (bzw. der Managementsystem Kapitel 4-10) wird sich mit der 2022 Revision also nicht ändern. Dies gilt somit für alle Betriebe, die ein Managementsystem nach ISO 27001 implementiert haben.
Die zweite gute Nachricht: Der Anhang A (Annex A) der ISO 27001 wurde überarbeitet und weist eine gänzlich neue Kapitelstruktur sowie vier neue praxisnahe Themenbereiche (gegliedert in: organisatorisch, personell, physisch und technisch) und neue Attribute (Maßnahmen) auf.
Hand in Hand mit der ISO 27001 geht immer auch die ISO 27002 – diese beinhält rund 93 allgemeine Maßnahmen (= Controls), welche bei der Erfüllung der Anforderungen der ISO 27001 helfen sollen. Der neue Titel der Norm weist darauf hin, dass die Themen Cyber Security und Privacy Protection einen höheren Stellenwert in der ISO 27001 Normenwelt bekommen haben.
Dieser neue Fokus schlägt sich auch in den neuen Maßnahmen der ISO 27002 bzw. des Anhang A der ISO 27001 nieder:
-
Threat control bzw. Threat intelligence
Betriebe werden künftig gefordert sein, Informationen über Bedrohungen und Angriffstools laufend zu erheben und ins Managementsystem – auf strategischer, taktischer und operativer Ebene – zu integrieren.
-
Informationssicherheit bei der Verwendung von Cloud Services
Der gesamte Lebenszyklus von cloudbasierten Services – von der Auswahl über den Betrieb bis hin zum Ausstieg – muss begleitet werden.
-
Löschen von Informationen
Informationen, die man nicht besitzt, kann man nicht verlieren. Dieses Konzept, das bereits aus der DSGVO bekannt ist, erlangt in der neuen Version der Norm einen höheren Stellenwert. Diese Maßnahme bezieht sich auf das Löschen aller sensitiven Informationen, die nicht mehr benötigt werden – und nicht (wie etwa im Falle der EU-DSGVO) lediglich auf personenbezogene Daten. Somit müssen generell alle Daten, die nicht mehr benötigt werden, gelöscht werden.
-
Physical security monitoring
Standorte müssen auf nicht autorisierte Zutritte überwacht werden.
-
Management der Konfiguration
Die Bedeutung einer aktuellen und vollständigen Dokumentation der Konfigurationen von Software, Hardware, Services und Netzwerken wird deutlich herausgestrichen.
-
Business Continuity Anforderungen an die IKT (Informations- und Kommunikationstechnik)
Betriebe müssen konkrete Anforderungen zur Aufrechterhaltung der IKT-Infrastruktur erarbeiten und diese umsetzen
-
Datenmaskierung
Das Minimalitätsprinzip in seiner Ausprägung bei der Verwendung von Daten erhält in der neuen Version der Norm ein eigenes Sicherheitscontrol. Die Konzepte, wie wir sie schon aus z. B. der Datenschutzgrundverordnung kennen, finden somit konkreten Eingang in den Anhang A der 27001:2022. Die zentrale Fragestellung „Welche Daten müssen für die einzelnen Prozessschritte tatsächlich zur Verfügung stehen?“ ist an dieser Stelle neu zu beantworten.
-
Verhinderung von Datenverlusten (data leakage prevention)
Maßnahmen zur Verhinderung und dem Erkennen von Datendiebstahl sind zu entwickeln und bezogen auf die Risiken der Organisation einzusetzen.
-
Secure coding
Secure Coding als eigene Disziplin der Softwareentwicklung wird stärker in den Fokus gerückt. Die relevanten Konzepte dazu betreffen den gesamten Softwareentwicklungszyklus und bringen als Ergebnis Software mit deutlich weniger oder optimalerweise keinen Sicherheitslücken.
-
Überwachung
Die durchschnittliche Erkennungsrate von Sicherheitsvorfällen von 212 Tagen sowie zusätzlich weitere 75 Tage, um darauf zu reagieren, unterstreicht, worum es in diesem Sicherheitscontrol geht. Netzwerke, Systeme und Applikationen sollten kontinuierlich hinsichtlich Anomalien beobachtet werden, um zeitnah entsprechende Maßnahmen durchzuführen.
-
Web filtering
Der Zugang zu nicht vertrauenswürdigen oder kompromittierten Websites muss verhindert werden, um die eigene Infrastruktur zu schützen.
Und was bedeutet das für Sie in der Praxis?
Die dritte Version der ISO 27001:2022 trägt das Datum 2022-10. Die entsprechend der festgelegten Übergangsfrist von 3 Jahren müssen alle nach ISO 27001:2013 zertifizierten Managementsysteme bis spätestens Ende September 2025 umgestellt sein, da die ISO 27001:2013 Zertifikate dann ihre Gültigkeit verlieren.
1 Jahr nach der Veröffentlichung wird die Zertifizierungsinstanz CIS Neu- und Erstzertifizierungen nur noch nach dem neuen Standard durchführen. Bei Überwachungs- oder Re-Zertifizierungsaudits kann laufend auf den neuen Standard umgestellt werden.
Zusammenfassend lässt sich also sagen, dass der Anhang A auf einen neuen, den aktuellen Stand der Technik Rechnung tragenden Stand gebracht wurde. Um auch weiterhin sowohl dem Stand der Technik als auch der sich verändernden Bedrohungslage Rechnung zu tragen, sollten sich Unternehmen bereits früher als später mit Faktoren wie Risikomanagement, Überarbeitung der Sicherheitsmaßnahmen und des Auditprogramms auseinandersetzen.
Wir freuen uns auf Ihre Anfragen!
Sie haben Fragen zum neuen Standard bzw. was genau das für Ihr Unternehmen oder Ihre Organisation bedeutet? Melden Sie sich bei uns – die Experten der CIS stehen Ihnen jederzeit für Rückfragen zur Verfügung!