Neue ISO/IEC 27001 Überarbeitung 2022

Cloud-Security, Business Continuity Management und Thread-Monitoring als Fokuspunkte der überarbeiteten ISO/IEC 27001

Neue ISO/IEC 27001 Überarbeitung 2022

Die ISO/IEC 27001 wurde nach fünf Jahren neu überarbeitet. Sie bietet Schutz vor Bedrohungen aus dem Internet.

Sie sieht dafür vor, dass nach einer Risikoanalyse für die Organisation passende Massnahmen («Controls») eingeführt werden.

Insgesamt sind fast 100 solcher Massnahmen vorgesehen, die im Sinne eines fortlaufenden Qualitätsmanagements (Kaizen, PDCA) laufend gepflegt werden müssen.

Die Einführung der ISO/IEC 27001 muss wie Cybersecurity überhaupt von der Geschäftsführung gestützt und getragen werden. Das Ergebnis ist ein Informationssicherheits-Mangement System, das die bestmögliche Absicherung vor Cyberrisiken darstellt.

Eine Organisation oder eine Organisationseinheit kann sich nach der ISO/IEC 27001 auditieren lassen.

Zusammenfassung

  • Die ISO/IEC 27001 als eine, wenn nicht als die bedeutendste Norm für Cyber- und Informationsecurity ist in einer überarbeiteten Version neu erschienen.
  • Grundkonzepte wie Information Security Management System, Risikomanagement und Massnahmen (Controls) werden beibehalten.
  • Neu sind Schwerpunkte für aktuelle Bedrohungen wie z. B. Ransom Ware:
    • Cloud-Security,
    • Business-Continuity und
    • Thread-Monitoring (auf strategischer, taktischer und operativer Ebene).
  • Vor allem die neu akzentierten Controls für Business-Continuity und für Thread-Monitoring werden aus Managementsicht einen erhöhten Bewertungs und Umsetzungsbedarf erzeugen.
  • Die neue Gliederung der Controls in vier Gruppen wirkt übersichtlich, zusammen mit der leicht adaptierten Struktur wird sie bei bestehenden ISO/IEC 27001 Umsetzungen Anpassungs- und Integrationsbedarf erzeugen.

Details

  • Das ISMS als Steuerungszentrale der Massnahmen (Controls) bleibt bestehen.
  • Der PDCA-Zyklus zur kontinuierlichen Qualitätsverbesserung bleibt bestehen.
  • Die Grundlage für alle Massnahmen ist nach wie vor ein Risikomanagement, dessen Methodk frei gewählt werden kann (z. B. ISO/IEC 27005, OCTAVE, FAIR oder IT-Grundschutz 200-3 für elementare Gefährderungen).
  • Der Annex ist an der ISO/IEC 27002 ausgerichtet und neu in vier Themenbereichen gegliedert, in die die früheren 114 Controls auf 93 zusammengezogen worden sind:
    • «Personenbezogene Massnahmen» richtet sich mit 8 Controls an individuelle Personen;
    • «Physische Massnahmen» mit 14 Controls an Massnahmen zur physischen Sicherheit;
    • «Technische Massnahmen» umfasst 34 Controls, sowie
    • «Organisatorische Massnahmen» mit alle verbleibenden 37.
  • Neu hinzugekommen sind die Controls
    • 5.30 «ICT Readiness for Business Continuity», zur Sicherstellung der Verfügbarkeit von Informationssystemen bei Störungen (BCM, cf. ISO/IEC 22301);
    • 5.23 «Information Security for Use of Cloud Services», das ua. dezidierte Cloud-Sicherheitsrichtlinien vorsieht;
    • 5.7 «Threat Intelligence», das nicht nur Netzwerkbeobachtung sondern ein umfassendes strategisches, taktisches und operationelles Monitoring der Bedrohungslage einfordert.
  • Der Annex basiert nach wie vor auf der ISO/IEC 27002, die diesen geänderten Aufbau vorsieht:
    • Titel, Attribute, Massnahme(nbeschreibung), Zweck, Leitfaden zur Umsetzung, weitere erklärende Informationen und Verweis auf mitgeltende Dokumente
  • Hinzugekommen sind neu Attribute zur besseren Verwaltung, weggefallen hingegen die Control Objectives zur Strukturierung, an deren Stelle die Zweckbeschreibung tritt, so dass die Zuordnung der Controls zu Geschäftsbereichen nun frei erfolgen muss.
  • Für bestehenden Einsatz muss die Statement of Applicability (SoA) umgearbeitet werden.
  • Weiters müssen Bezüge zu TISAX (Automotive) oder B3S (für KRITIS) oder EnWG angepasst werden.
  • Umsetzungsaufwändig können die Anforderungen an das BCM und die Bedrohungsanalyse ausfallen.

Referenzen