"Wir stellen unsere Risikoanalyse mal eben auf die neuen Controls der ISO/IEC 27002:2022 um" - ein Erfahrungsbericht (Teil 1)

Um es gleich vorwegzunehmen, "einfach mal eben" ist ein Umstieg auf die neue ISO/IEC 27002 leider nicht möglich, wie wir rausfinden mussten. Und das, obwohl es ein Mapping gibt, häufig auch mit 1-zu-1 Beziehungen zwischen den alten und neuen Controls. Insbesondere hier lag die Vermutung nahe, anstatt der alten Control-Nummern einfach die Neuen zuzuordnen und man ist fertig. Leider Pustekuchen, so einfach ist es nicht. Aber der Reihe nach..

Mit Veröffentlichung der neuen ISO/IEC 27001:2022 Ende Oktober (mehr dazu hier) müssen beim Umstieg des ISMS auf den neuen Standard die Controls der ISO/IEC 27002:2022 jetzt verpflichtend im Risikomanagement und einem neuen SoA (Statement of Applicability) bewertet werden. Wir sind sicherlich nicht die Einzigen, die sich Gedanken über optimalen Umstieg machen.

Insbesondere wollen wir unseren Kunden im ISMS-Tool TTS trax mit Automatismen beim Umstieg helfen. Hierfür haben wir im ersten Schritt natürlich freudig zum Mapping gegriffen, welches uns die Norm netterweise mitliefert. 11 neue Controls (Themen) und die 114 alten Controls der ISO/IEC 27002:2013 wurden auf 93 Controls in der neuen Norm verteilt, mit 58 1-zu-1 Mappings und 24 Controls, die 56 alte Controls zusammenfassen. Soweit so gut. Das sieht nach einer gut automatisierbaren Aufgabe aus. Die erste Idee war dann auch, automatisiert einfach die alten Controls in der Risikoanalyse durch die Gemappten zu ersetzen, so dass man sich anschließend inhaltlich erst mal nur noch um die 11 neuen Themen kümmern muss. Ein Ansatz, den man auch in vielen Blogbeiträgen und Artikeln von Beratungsfirmen immer wieder findet.

Um ein Gefühl dafür zu kriegen, ob das Vorgehen wirklich so einfach machbar ist, hat Jörg Cordsen einige der neuen Control-Texte genauer angeschaut und mit den Alten verglichen. Hier wurde schon nach kurzer Zeit sehr deutlich, dass diese Vorgehensidee so leider nicht umsetzbar ist. Bis auf 4 Controls haben sich alle Controls inhaltlich mehr oder weniger stark verändert. Die folgende detaillierte Analyse der Controls hat dann folgendes Bild ergeben.

Es gibt in der ISO/IEC 27002:2022 insgesamt

• 744 neue Anforderungen,
• 149 deutliche oder erhebliche Änderungen zwischen den alten und neuen Anforderungen und nur
• 978 Anforderungen sind im Wesentlichen durch unveränderte Übernahme gleich geblieben.
• Erstaunlich ist auch, die neuen Controls beinhalten teilweise altbekannte Anforderungen.

Fast 50% aller Control-Inhalte sind also wirklich neu bzw. deutlich oder erheblich geändert. Grafisch aufbereitet sieht die Änderungsintensität der einzelnen Controls wie folgt aus:

Es wird sofort deutlich, dass ein simples automatisiertes Mappen der Controls nur ein erster Schritt bei der Umstellung der Risikoanalyse auf die neuen Controls sein kann und man gut beraten ist, sich mit den Inhalten aller Controls näher zu beschäftigen. Insbesondere KRITIS-Unternehmen, die ja den aktuellen Stand der Technik hinsichtlich Informationssicherheit umsetzen sollen, würden ansonsten eine Vielzahl von Potentialen zur Verbesserung der Informationssicherheit nicht berücksichtigen.

Trotzdem glauben wir, dass auch hier eine automatisierte Unterstützung beim Umstieg sinnvoll unterstützen kann. Außerdem werden wir auch in Zukunft immer wieder vor dem Problem stehen, dass sich Standards ändern und wir diese Änderungen in unsere Risikoanalysen übernehmen müssen. Kandidaten am Horizont sind insbesondere die Standards, die auf der ISO/IEC 27002 aufbauen und diese themenspezifisch erweitern, wie bspw. die ISO/IEC 27019 für den Energiesektor oder auch B3S (Branchenspezifische Sicherheitsstandards). Ein Automatismus, der uns beim Umstieg unterstützt, wäre also hochwillkommen.

Wie wir dieses Problem angegangen sind und welche weiteren Erkenntnisse wir bei der Detailuntersuchung hatten, berichten wir in weiteren Teilen unseres Erfahrungsberichtes. 

Hat schon jemand ähnliche Gedanken oder Erfahrungen beim Umstieg auf die neue ISO/IEC 27002:2022 gemacht? Kommentiert gerne mal.