07. Nov 2022

Welche Änderungen auf die Branche zukommen

Revision ISO 27001 & ISO 27002:2022 – was kommt, was geht, was bleibt?

Robert Jamnik, Head of Audit Services der CIS, berichtet in diesem Newsartikel über bevorstehende Änderungen bei Normen, Standards & Co. und geht darauf ein, welche Chancen sich dadurch in der Praxis ergeben.

Die gute Nachricht zuerst: Das Managementsystem per se ändert sich nicht. Der Kern der Norm ISO 27001 für „Informationstechnologie – IT-Sicherheitsverfahren – Informationssicherheits-Managementsysteme – Anforderungen“ (bzw. der Managementsystem Kapitel 4-10) wird sich mit der 2022 Revision also nicht ändern. Dies gilt somit für alle Betriebe, die ein Managementsystem nach ISO 27001 implementiert haben.

Die zweite gute Nachricht: Der Anhang A (Annex A) der ISO 27001 wurde überarbeitet und weist eine gänzlich neue Kapitelstruktur sowie vier neue praxisnahe Themenbereiche (gegliedert in: organisatorisch, personell, physisch und technisch) und neue Attribute (Maßnahmen) auf.

Hand in Hand mit der ISO 27001 geht immer auch die ISO 27002 – diese beinhält rund 93 allgemeine Maßnahmen (= Controls), welche bei der Erfüllung der Anforderungen der ISO 27001 helfen sollen. Der neue Titel der Norm  weist darauf hin, dass die Themen Cyber Security und Privacy Protection einen höheren Stellenwert in der ISO 27001 Normenwelt bekommen haben.

Dieser neue Fokus schlägt sich auch in den neuen Maßnahmen der ISO 27002 bzw. des Anhang A der ISO 27001 nieder:

  • Threat control bzw. Threat intelligence

    Betriebe werden künftig gefordert sein, Informationen über Bedrohungen und Angriffstools laufend zu erheben und ins Managementsystem – auf strategischer, taktischer und operativer Ebene – zu integrieren.

  • Informationssicherheit bei der Verwendung von Cloud Services

    Der gesamte Lebenszyklus von cloudbasierten Services – von der Auswahl über den Betrieb bis hin zum Ausstieg – muss begleitet werden.

  • Löschen von Informationen

    Informationen, die man nicht besitzt, kann man nicht verlieren. Dieses Konzept, das bereits aus der DSGVO bekannt ist, erlangt in der neuen Version der Norm einen höheren Stellenwert. Diese Maßnahme bezieht sich auf das Löschen aller sensitiven Informationen, die nicht mehr benötigt werden – und nicht (wie etwa im Falle der EU-DSGVO) lediglich auf personenbezogene Daten. Somit müssen generell alle Daten, die nicht mehr benötigt werden, gelöscht werden.

  • Physical security monitoring

    Standorte müssen auf nicht autorisierte Zutritte überwacht werden.

  • Management der Konfiguration

    Die Bedeutung einer aktuellen und vollständigen Dokumentation der Konfigurationen von Software, Hardware, Services und Netzwerken wird deutlich herausgestrichen.

  • Business Continuity Anforderungen an die IKT (Informations- und Kommunikationstechnik)

    Betriebe müssen konkrete Anforderungen zur Aufrechterhaltung der IKT-Infrastruktur erarbeiten und diese umsetzen

  • Datenmaskierung

    Das Minimalitätsprinzip in seiner Ausprägung bei der Verwendung von Daten erhält in der neuen Version der Norm ein eigenes Sicherheitscontrol. Die Konzepte, wie wir sie schon aus z. B. der Datenschutzgrundverordnung kennen, finden somit konkreten Eingang in den Anhang A der 27001:2022. Die zentrale Fragestellung „Welche Daten müssen für die einzelnen Prozessschritte tatsächlich zur Verfügung stehen?“ ist an dieser Stelle neu zu beantworten.

  • Verhinderung von Datenverlusten (data leakage prevention)

    Maßnahmen zur Verhinderung und dem Erkennen von Datendiebstahl sind zu entwickeln und bezogen auf die Risiken der Organisation einzusetzen.

  • Secure coding

    Secure Coding als eigene Disziplin der Softwareentwicklung wird stärker in den Fokus gerückt. Die relevanten Konzepte dazu betreffen den gesamten Softwareentwicklungszyklus und bringen als Ergebnis Software mit deutlich weniger oder optimalerweise keinen Sicherheitslücken.

  • Überwachung

    Die durchschnittliche Erkennungsrate von Sicherheitsvorfällen von 212 Tagen sowie zusätzlich weitere 75 Tage, um darauf zu reagieren, unterstreicht, worum es in diesem Sicherheitscontrol geht. Netzwerke, Systeme und Applikationen sollten kontinuierlich hinsichtlich Anomalien beobachtet werden, um zeitnah entsprechende Maßnahmen durchzuführen.

  • Web filtering

    Der Zugang zu nicht vertrauenswürdigen oder kompromittierten Websites muss verhindert werden, um die eigene Infrastruktur zu schützen.

Und was bedeutet das für Sie in der Praxis?

Die dritte Version der ISO 27001:2022 trägt das Datum 2022-10. Die entsprechend der festgelegten Übergangsfrist von 3 Jahren müssen alle nach ISO 27001:2013 zertifizierten Managementsysteme bis spätestens Ende September  2025 umgestellt sein, da die ISO 27001:2013 Zertifikate dann ihre Gültigkeit verlieren.

1 Jahr nach der Veröffentlichung wird die Zertifizierungsinstanz CIS Neu- und Erstzertifizierungen nur noch nach dem neuen Standard durchführen. Bei Überwachungs- oder Re-Zertifizierungsaudits kann laufend auf den neuen Standard umgestellt werden.

Zusammenfassend lässt sich also sagen, dass der Anhang A auf einen neuen, den aktuellen Stand der Technik Rechnung tragenden Stand gebracht wurde. Um auch weiterhin sowohl dem Stand der Technik als auch der sich verändernden Bedrohungslage Rechnung zu tragen, sollten sich Unternehmen bereits früher als später mit Faktoren wie Risikomanagement, Überarbeitung der Sicherheitsmaßnahmen und des Auditprogramms auseinandersetzen.

 

Wir freuen uns auf Ihre Anfragen!

Sie haben Fragen zum neuen Standard bzw. was genau das für Ihr Unternehmen oder Ihre Organisation bedeutet? Melden Sie sich bei uns – die Experten der CIS stehen Ihnen jederzeit für Rückfragen zur Verfügung!

Weitere News & Events

Immer topaktuell informiert

17. Mai 2023

Wollen Sie wissen, wie sicher Ihr Unternehmen ist? Lassen Sie sich hacken!

Ethical Hacking als Trend in der Security Branche

Mehr erfahren
10. Mai 2023

Top-Secret-Strategien für mehr Informations­sicherheit

Mit ungewöhnlichen Maßnahmen Mitarbeitende sensibilisieren

Mehr erfahren
03. Mai 2023

Wie Sie Ihr Unternehmen vor Daten­missbrauch schützen

Ein effektives Managementsystem kann helfen, die Informationen und Daten des Unternehmens zu schützen und vor Cyber-Attacken zu sichern.

Mehr erfahren
11. Apr 2023

8 Tipps für mehr Security in der „New Work“ Arbeitswelt

Hier ein paar Tipps und Tricks für mehr Sicherheit in der „New Work“ Umgebung.

Mehr erfahren
03. Apr 2023

New Work – Provokation nutzen und Potenzial leben

Neue Wege in der Sicherheit sind gefragt, um eine sichere Arbeitsumgebung zu schaffen.

Mehr erfahren
14. Mrz 2023

Einreichfrist ver­längert: Österreichs beste und bester Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 21. April 2023 möglich

Mehr erfahren
01. Mrz 2023

ISO 27001 trifft Cyber Trust Austria® Label: Das i-Tüpfelchen der Security

Success Story am Beispiel von ACP

Mehr erfahren
07. Feb 2023

Sicherheits­maßnahmen für Unternehmen am Safer Internet Day

Ein sicheres Netz geht uns alle etwas an - inwiefern können auch Unternehmen und Organisationen zu einem sicheren Internet beitragen?

Mehr erfahren
31. Jan 2023

Wachsende Angriffsfläche durch Digitalisierungsschub

30. Jan 2023

Harald Erkinger ist neuer Geschäftsführer der CIS

Erfahrener IT- und Cybersicherheits-Experte neuer CEO

Mehr erfahren
05. Dez 2022

NIS 2.0 – was kommt auf uns zu?

Neue Regelung für Cybersicherheit: CIS-Experte klärt auf

Mehr erfahren
30. Nov 2022

Gesucht: Auditor*in Informations-sicherheits-management nach ISO 27001 (m/w/d)

+43 732 34 23 22