Wir stellen unsere Risikoanalyse mal eben auf die neuen Controls der ISO/IEC 27002:2022 um" - ein Erfahrungsbericht (Teil 2)

Wer mithilfe seiner ISMS Risikoanalyse wirklich eine Verbesserung der Sicherheit im Unternehmen erreichen möchte und nicht nur eine Compliance-Übung für den Auditor macht, der muss sich mit den Inhalten der neuen ISO/IEC 27002:2022 detailliert beschäftigen.

Über das Ausmaß der inhaltlichen Änderungen haben wir bereits in Teil 1 berichtet. Im zweiten Teil wollen wir ein Beispiel für inhaltliche Änderungen und deren Auswirkung, einige Details zur Qualität des in der Norm enthaltenen Mappings sowie einige Hintergründe zur durchgeführten Analyse geben.

Inhaltliche Änderungen der Controls

Neue und geänderte Inhalte finden sich in fast jedem Control - nur 4 Controls sind inhaltlich komplett identisch. Um diesen Artikel jetzt nicht völlig zu sprengen, möchten wir beispielhaft anhand des Controls "Capacity Management" (ISO/IEC 27002:2013 12.1.3 mit 1-zu-1 Mapping auf ISO/IEC 27002:2022 8.6) verdeutlichen, wo sich Änderungen verstecken und welche Tragweite diese haben können.

Schaut man sich zunächst nur den Controltext an, werden auf den ersten Blick keine gravierenden Änderungen deutlich. Lediglich das Wording hat sich leicht geändert und der Hinweis auf "system performance" ist weggefallen. Interessant wird es, wenn man in die Texte der Implementierungshilfen eintaucht. Fokussierte das Control in der alten Norm lediglich auf Kapazitätsmanagement bei IT-Systemen, wird der Fokus in der neuen Norm stark ausgeweitet und umfasst nun das gesamte Unternehmen. So wird aus IT Capacity Management mal eben Enterprise Capacity Management. Neben dieser signifikanten Änderung des Control-Anwendungsbereichs im ersten Satz der Implementierungshilfen finden sich im neuen Control weitere neue Inhalte, wie der rechte Teil der oberen Grafik verdeutlich.

Wer jetzt bei seinem Umstieg auf die neue Version der Norm lediglich die Controltexte vergleicht, kann somit leicht in eine Falle tappen. Man könnte zu dem Schluss kommen, dass durch die vollständige Umsetzung des alten Controls das neue Control ebenfalls bereits umgesetzt ist und man an dieser Stelle nichts zu tun hat. Kapazitätsmanagement wird dann auf jeden Fall nicht gemäß der neuen Best Practice-Empfehlungen umgesetzt und gute und sinnvolle Hinweise zur Verbesserung der Sicherheit im Unternehmen werden übersehen. Weiterhin kann dieses Vorgehen in einem Audit auch durchaus zu Überraschung führen, wenn Auditoren in ihrer Stichprobe mal etwas tiefer bohren.

Qualität des Mappings

Grundsätzlich bietet das in der Norm enthaltende Mapping eine gute Orientierungshilfe für den Umstieg. Man muss allerdings im Hinterkopf behalten, dass Mappings meist nur die Gemeinsamkeiten, selten aber die Unterschiede darstellen. Dadurch wird lediglich klar, wo die vormalig definierten Anforderungen in der neuen Ausarbeitung wiederzufinden sind. Rückschlüsse über Umsetzungsstände bzw. Erfüllungsgrade ziehen oder gar Konformitäten daraus ableiten sollte man daraus jedoch lieber nicht.

Eine Frage die sich unweigerlich stellt wenn man das Mapping als Ausgangspunkt für seine Umstellung nutzt ist "Ist das Mapping eigentlich korrekt bzw. vollständig?" Hier müssen wir nach unserer Analyse leider sagen, dass dies nicht immer der Fall ist. Zwar geben die Mappings zumeist korrekt an, wo der Hauptteil der Controlinhalte hingewandert ist, es lassen sich aber etliche Beispiele finden, wo Inhalte aus nicht gemappten Controls in ein neues Control übernommen wurden. Ein Mapping ist in der Tat auch falsch (rechter Teil der folgenden Grafik).

Es zeigt sich: Ein blindes Verlassen auf das vorhandene Mapping ist nicht angeraten. Insbesondere wenn man das eigene Regelwerk zur Informationssicherheit mit Referenzen auf die Controls der ISO/IEC 27002 versehen hat, können auf diese Weise Inhalte falsch zugeordnet werden.

Details zur Analyse

Auf diese Ergebnisse konnten wir nur kommen, weil wir die Inhalte der alten und neuen Norm vollständig textuell verglichen haben. Für jeden Satz und Aufzählungspunkt in den Implementierungshinweisen der einzelnen Controls wurde zunächst geschaut, wo der alte Inhalt hingewandert ist, so dass wir letztendlich ein neues, eigenes Mapping auf Detailebene erstellt haben. Im zweiten Schritt wurden alle Inhalte qualitativ bewertet, von wortgleich, inhaltlich identisch oder nahezu identisch, über deutliche bzw. erhebliche Änderungen, bis hin zu Inhalten ohne Entsprechung, also weggefallenen bzw. neuen Inhalten. Das ist sehr viel Arbeit, hilft aber enorm, um Änderungen und folglich Handlungsbedarfe für jedes Control zu erkennen.

Fazit und Ausblick

Die Ergebnisse sprechen für sich: Wer wirklich eine Verbesserung der Sicherheit im Unternehmen erreichen möchte und seine ISMS-Risikoanalyse nicht nur als Compliance-Übung für den Auditor macht, der beschäftigt sich detailliert mit den Inhalten der neuen ISO/IEC 27002:2022. Der Umstieg ist eine Chance, durch die vielen guten und sinnvollen Best Practice Anregungen in den neuen Controls die Sicherheit im Unternehmen inhaltlich deutlich besser aufzustellen.

Im letzten Teil dieses Erfahrungsberichtes werden wir die Realisierbarkeit einer automatisierten Umstellung auf neue Normversionen und deren Nutzen und Vorteile für ISMS-Verantwortliche näher beleuchten. Stay tuned!