ISO/IEC 27002 2021 und die Auswirkungen auf Ihr ISMS

Einführung

In der heutigen Cybersicherheitslandschaft gibt es viele Informationssicherheit-Frameworks, die Organisationen dabei helfen, ihre Informationswerte zu schützen. Dazu gehören u.a. die #ISO/IEC 27001, BSI Grundschutz, ISIS12, VdS 10000, NIST 800-53. Diese Regelwerke dienen als gemeinsame Grundlage, die es allen Mitarbeitern einer Organisation sowie den relevanten Interessengruppen ermöglicht, ein gemeinsames Verständnis für die Risiken der Informationssicherheit zu finden. Daher ist es für Unternehmen wichtig, das Regelwerk zu wählen, das am besten zu ihrer Umgebung passt.

Für die Informationssicherheit unterscheidet man zwischen den folgenden drei Regelrahmen: 

1.     Steuerungsrahmen: Dieser beinhalten eine Reihe von zu implementierenden Basiskontrollen

2.     Programmatische Rahmen: Dieser definiert die Anforderungen für den Aufbau eines effektiven Informationssicherheitssystems

3.     Risikokonzepte: Diese beschreiben den Prozess zur Bewältigung von Risiken.

Was ist ISO 27001/ISO 27002?

ISO 27001 ist das zentrale Regelwerk der ISO 27000-Reihe und verfolgt einen risikobasierten Ansatz, um Organisationen beim Management ihrer Informationssicherheit zu unterstützen. Sie definiert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS). Die Kernanforderungen der Norm werden durch eine Reihe von Sicherheitskontrollen unterstützt, die als Anhang A bekannt sind. Zwar sind Organisationen nicht verpflichtet, alle Kontrollen in Anhang A zu implementieren, doch dient er dazu, um auf der Grundlage von Geschäftszielen und Risikobewertungen geeignete Kontrollen zur Bewältigung der ermittelten Informationssicherheitsrisiken auszuwählen.

Die ISO-Norm 27001 hat sich als Standard für die Informationssicherheit durchgesetzt, da sie von allen Organisationen unabhängig von ihrer Größe und Branche übernommen werden kann, die ein funktionierendes ISMS einrichten und aufrechterhalten wollen. Aufsichtsbehörden, Kunden und andere Interessengruppen haben zunehmend Druck auf Organisationen ausgeübt, die Robustheit ihrer Sicherheitsvorkehrungen nachzuweisen. Die Konformität mit einer internationalen Norm zeigt, dass die Organisationen Anstrengungen und Engagement für die Sicherheit aufbringen und ihre Sicherheitslage durch einen genau definierten kontinuierlichen Prozess verbessern. Obwohl die ISO 27001-Zertifizierung für die meisten Organisationen noch nicht verpflichtend ist, erkennen sie allmählich an, dass eine Zertifizierung Vorteile bringt, die über die Verbesserung ihres ISMS hinausgeht. Die ISO 27001 wird zur neuen Norm für bewährte Verfahren im Bereich der Informationssicherheit.

Aber was ist die ISO/IEC 27002? Ist das eine separate Norm der ISO 27000-Reihe? Nicht ganz. Während der Anhang A zur ISO 27001 einen Überblick über die einzelnen Kontrollen gibt, beschreibt die ISO 27002 im Detail, wie sie umgesetzt werden können. Wie alle anderen ISO-Normen wird sie alle fünf Jahre überprüft, um festzustellen, ob Aktualisierungen erforderlich sind. Die letzte Überarbeitung fand im Jahr 2013 statt, die neueste Aktualisierung ist für Februar 2022 geplant. 

Im Gegensatz zur ISO 27001, können sich Organisationen nicht nach ISO 27002 zertifizieren lassen. Sie ist lediglich als Referenz für die Implementierung von Kontrollen zu verwenden. 

Welche Änderungen gibt es in der aktualisierten Version der ISO 27002?

Der Hauptunterschied zwischen dem neuen Entwurf der internationalen Norm (Draft International Standard - DIS) und der ISO 27001 Version 2013 ist die Struktur der Kontrollen. Die Mehrheit der ISO 27002-Kontrollen bleibt unverändert, sie wurden aber von 14 auf vier breite Kategorien umgruppiert:

• organisatorische
• personelle
• physische
• technologische

Auch die Anzahl der Kontrollen wurde im DIS von 114 auf 93 reduziert, wobei elf neue eingeführt, drei bestehende gestrichen und 48 zu den derzeitigen 19 Kontrollen zusammengefasst wurden. 

Zum Beispiel waren die Kontrollen, die sich auf Benutzerendgeräte beziehen, in der ISO 27001 Version 2013 auf verschiedene Bereiche (A6 und A11) verteilt, während sie im DIS unter einer allgemeinen Kategorie, nämlich unter Benutzerendgeräte, zusammengefasst werden konnten. Einige andere individuelle Kontrollen in der ISO 27001 Version 2013 wurden ebenfalls in eine einzige Kontrolle integriert, da sie auf denselben Grundprinzipien beruhen. Um Doppelarbeit zu vermeiden, wurden in der ISO 27001 Version 2013 beispielsweise die Kontrollen, die sich auf Protokolle beziehen (A.12.4.1 bis A.12.4.3) im DIS unter Protokollierung zusammengefasst. Durch die breitere Struktur wird die Überschneidung von Kontrollen über mehrere Bereiche hinweg und auch innerhalb eines einzelnen Bereichs vermieden. Sie ermöglicht es den Anwendern, den Bereich anhand von Themen zu untersuchen und die Maßnahmen zur Umsetzung gezielt zu steuern. Die neue Struktur ist weniger normativ und gibt den Organisationen einen größeren Gestaltungsraum, um ihre Kontrollziele zu erreichen. 

Die digitale Transformation, zusammen mit einer sich verschärfenden Cyber-Bedrohungslandschaft, hat die Änderung der ISO 27002 beschleunigt. Mit der ISO 27002 werden neue Maßnahmen in Bezug auf Bedrohungsdaten, Cloud-Dienste und sichere Programmierung eingeführt, um die sich schnell entwickelnde Technologie stärker zu berücksichtigen.

Mit den anstehenden Aktualisierungen der ISO 27002 ist sie nun noch umfassender für die Bekämpfung von Informationssicherheitsrisiken geeignet. 

Nach wie vor bietet die Norm eine Anleitung zur Umsetzung der besten Sicherheitsverfahren für die Einhaltung der ISO 27001.

ISEGRIM X® – Ihr Partner für Informationssicherheit.

Wir bieten Ihnen branchenübergreifende Lösungen für Informationssicherheit, Cyber Security, Backup und Datenschutz. Automobilzulieferern bieten wir einen schnellen, kostenoptimierten und effektiven Weg zur TISAX® Zertifizierung.

Michael Kirsch hat langjährige Erfahrung in der Informations- und Cybersicherheit, dem Datenschutz und industrieller Security.

Als Customer Success Officer der ISEGRIM X® AG liegen seine Schwerpunkte in der Beratung, Etablierung und Auditierung von Informationssicherheit-Managementsystemen (ISMS) nach #TISAX® und ISO 27001, der Entwicklung von Strategien innerhalb der IKT und der Ableitung von Security-Maßnahmen.

Zu seinen weiteren Kompetenzen zählen industrielle Sicherheit nach IEC 62443 – Industrielle Kommunikationsnetze (IT-Sicherheit für Netze und Systeme) und ISO/SAE 21434 – Road vehicles (Cybersecurity engineering).

Er ist Lead Auditor für ISO 27001, Experte bei der EU-Commission und Trainer für Informationssicherheit bei der TÜV Süd Akademie.