ISO 27002/27001 Update – Was ist neu?
Nach neun Jahren wurde die ISO 27002 grundlegend überarbeitet und in allen Bereichen aktualisiert. In einem 4-jährigen Projekt von 2018 bis 2022 wurden umfangreiche Änderungen, sowohl an der Struktur, wie auch beim Inhalt der ISO 27002 vorgenommen. Die ISO 27001 wurde in diesem Zusammenhang kürzlich ebenfalls überarbeitet und an die neue Harmonized Structure angepasst. Bisher liegen die beiden Normen nur in englischer Sprache vor. Im nachfolgenden Artikel geben wir Euch einen guten Überblick über die Änderungen.
ISO 27002 Änderungen: Der inhaltliche Aufbau und die Neustrukturierung der neuen Norm
Die erste Änderung, die gleich ins Auge sticht, ist die Änderung des Titels. Die Anpassung des Titels von früheren Versionen „Informationstechnik – Sicherheitsverfahren – Leitfaden für Informationssicherheitsmaßnahmen“ auf „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“ macht klar, dass ich auch die Schutzziele verändert haben. Cybersicherheit und Datenschutz erhalten einen größeren Stellenwert und werden explizit hervorgehoben.
Die wesentlichsten Änderungen der ISO 27002 erkennt man bereits bei der Betrachtung des Inhaltsverzeichnisses. Aus ursprünglich 14 Abschnitten werden 4 Themenbereiche, die grob die Maßnahmen nach personellen, physischen und technischen Maßnahmen strukturieren. Maßnahmen, die keinem dieser Bereiche zugeordnet werden können, finden sich im Thema der organisatorischen Maßnahmen.
Dieser Ansatz ist hilfreich, da die bisherigen 14 Abschnitte nicht immer sauber abzugrenzen waren. So gab es Maßnahmen der Betriebssicherheit, die sich auch der Anwendungssicherheit zuzuordnen lassen würden. Mit der Neustrukturierung wurde dieses Dilemma bereinigt. Dabei sind die ehemaligen 14 Abschnitte nicht verloren gegangen, sondern finden sich in einem der 5 neuen Attributs-Typen wieder. Diese sind eine weitere wesentliche, aber durchaus hilfreiche, Änderung der neuen ISO 27002.
Hastags in der neuen ISO-Norm: Für mehr Übersicht in der Informationssicherheit
Auf den ersten Blick könnte man vermuten, dass die neue Norm einfach nur mit der Zeit gehen möchte, da nun auch hier Hashtags für jede Maßnahme eingeführt wurden. Die verwendeten Attribute sind aber eine wirklich sinnvolle Hilfe, um nicht nur ein angemessenes, sondern auch ein ausgewogenes Sicherheitskonzept zu erreichen und die Übersichtlichkeit zur verbessern.
So werden sowohl die Art der Maßnahme (#Preventive, #Detective, #Corrective), die adressierten Schutzziele (#Confidentiality, #Integrity, #Availability), die operativen Fähigkeiten (#Identify, #Protect, #Detect, #Respond, #Recover), sowie die jeweiligen Sicherheitsdomänen (bspw. unter anderem #Governace, #Secure_configuration, oder Supplier_relationship_security) , perfekt zum Abgleich mit den Ausbildungsprogrammen (#Governance_and_Ecosystem, #Protection, #Defence, #Resilience) für den notwendigen Kompetenzaufbau angepasst. Somit ist es relativ einfach nach den entsprechenden neuen Attributen oder auch Hashtags zu suchen und die passende Maßnahme betrachten.
Der Aspekt Cybersicherheit und Datenschutz in der neuen ISO 27000-Normenfamilie
Auch das Thema Datenschutz kommt neben der Informationssicherheit stärker zum Tragen, sowohl im Titel als auch in den Schutzmaßnahmen. Die Erweiterung der Titel der neuen Normen sowie auch das verstärkte Einfließen jener Aspekte in die neuen Maßnahmenbeschreibungen begründet sich mit der deutlichen Erweiterung der ISO 27000-Normenfamilie der letzten Jahre um Themen der Cybersicherheit und des Datenschutzes.
So sind etliche Normen zu Datenschutz und Cybersicherheit dazu gekommen:
- ISO 27701 als Datenschutzmanagementsystem-Aufsatz zur ISO/IEC 27001,
- ISO 2755x-Normen zu verschiedenen Themen des Datenschutzes, bspw. die ISO 27555 als internationale Variante der DIN 66398 für Löschkonzepte,
- zur Cybersicherheit im Bereich der ISO 271xx-Normen, insbesondere die ISO 27110, welche ein Cybersicherheits-Rahmenwerk beschreibt, mit jenen Stufen, die auch durch das entsprechende Attribut der neuen ISO 27002-Maßnahmen adressiert werden.
ISO 27001 Maßnahmen mit mehr Praxisnähe
Insgesamt sind die neuen Maßnahmen praxisnäher geworden und in der Beschreibung detaillierter. Sie adressieren die neuen Aspekte Datenschutz und Informationssicherheit verstärkt, und sind vor allem auch zusammengefasst worden, wo zuvor die einzelnen Maßnahmen für sich alleinstehend wenig Sinn ergeben haben. So wurden 114 Maßnahmen zu 93 in den neuen Versionen zusammengefasst, wobei hier bereits 11 neue Maßnahmen enthalten sind. Die Struktur der Ziele, zu denen es potenziell mehrere Maßnahmen gab, hat man aufgegeben. Jede Maßnahme hat nun einen eigenen Zweck. Somit ließ sich auch der Aufbau der Norm realisieren und durch Attribute oder Hashtags neu strukturieren.
Einfluss der Normenwelt auf die neue ISO 27002 und ISO 27001
Inhaltlich erkennt die ISO auch weitere Quellen, als nur die eigene Normenwelt an. Es fließen auch Inputs vom/von ISF, ITIL, NIST, OWASP und OASIS in die neuen Maßnahmenbeschreibungen mit ein. Zu den neuen Maßnahmen gehören neben Themen, die die meisten Organisationen bereits unter anderem Titel adressiert haben dürften, auch ein paar neue Herausforderungen, wie die Bedrohungsanalyse und die DLP (Data Loss Prevention). Aber auch längst überfällige Maßnahmen des Datenschutzes dürften spätestens jetzt bei manchen Organisationen erneut für Kopfzerbrechen sorgen, so bspw. ein geeignetes Löschkonzept und die Pseudonymisierung/Anonymisierung von Daten.
Die ISO 27001 hat mit der Veröffentlichung vom 25.10.2022 insbesondere die neuen Maßnahmen der ISO 27002 übernommen. Auffällig ist dabei, dass sowohl der Zweck, als auch die Attributstabelle (bisher) nicht übernommen wurden. Trotz alledem wird sich in der zukünftigen Auditpraxis zeigen. Wie weit die Zertifizierungsstellen auf diese neuen Punkte der ISO 27002 Bezug nehmen werden, wird sich noch zeigen. Bspw. unter dem Gesichtspunkt eines ausgewogenen Sicherheitskonzepts oder der korrekten Adressierung von Risiken durch geeignete Maßnahmen basierend auf den zugrunde liegenden Schutzzielen. Ansonsten sind die Änderungen der ISO 27001 marginal. Die neue Harmonized Structure umfasst primär kosmetische Änderungen, wie geringfügige Umformulierungen, veränderte Darstellungen des Inhalts sowie einen Swap der Behandlung von Nichtkonformitäten und der Realisierung von Verbesserungsmöglichkeiten.
ISO 27002/27001 Update – Das sollten Unternehmen berücksichtigen
Das International Accreditation Forum (kurz: IAF) hat sich zwischenzeitlich auch zu den Übergangsfristen zur Umstellung auf die neue ISO 27001 geäußert.
Die wesentliche Änderung ist das explizite Erfassen von Anforderungen der Stakeholder mit Auswirkungen auf das ISMS, sowie dem geplanten Vorgehen bei den Änderungen. Die IAF nennt als Fristen für die Umstellung auf die neue ISO 27001:2022 3 Jahre ab dem letzten Tag des Monats der Veröffentlichung der neuen ISO 27001, das wäre also der 31.10.2025.
Sukzessive werden nun auch alle weiteren Normen, die sich an der ISO 27001, sowie an die ISO 27002 ausrichten, aktualisiert. Dies sind insbesondere die Umsetzungsleitfäden der ISO 27001, wie auch die branchen- und maßnahmenspezifischen Leitfäden der ISO 27002. Bereits zeitgleich mit der neuen ISO 27001 wurde auch die Norm ISO 27005 zum Kernelement, dem Risikomanagement, aktualisiert.
Auch die Prüfinstitute müssen nun erst Ihre Auditprozesse auf den neuen Standard anpassen. Es wird damit gerechnet, dass also noch ca. 12 Monate Erst- sowie Rezertifizierungen noch nach der alten Norm erfolgen können.
Fazit zum neuen Update in der ISO 27000-Normenwelt
Alles in allem ist derzeit viel Bewegung in der ISO 27000-Normenwelt, insbesondere das Thema Praxisnähe ist ein besonderer Schwerpunkt. In Zeiten der Zunahme von Attacken auf Organisationen bietet der Blickwinkel Cybersicherheit für manch ein Unternehmen einen echten Mehrwert, welche bisher nur die Compliance auf dem Schirm und das Thema ISMS (Informationssicherheits-Managementsystem) eher als Last empfunden hatten.
Es bleibt abzuwarten, in welche Richtung sich die Normen weiterbewegen, wenngleich zunächst etliche Normen erst einmal an die neuen Strukturen angeglichen werden, bevor mit neuen Aktualisierungen zu rechnen ist. Auch bleibt abzuwarten, wie nun andere Standards, die sich an der ISO 27000er-Normenfamilie orientieren, auf die Veränderungen reagieren. Dies sind unter anderem VDA-ISA bzw. das TISAX-Labelprogramm, wie auch der BSI IT Grundschutz und (C)ISIS12.
Ihr habt Interesse an einer Schulung oder Weiterbildung oder benötigt Unterstützung in diesem Bereich?
Besucht doch mal unserer PSW TRAINING. Die PSW TRAINING ist, der Teil der PSW GROUP GmbH & Co. KG, der sich für kompakte und praxisnahe Weiterbildung in den Bereichen Informationssicherheit, IT-Servicemanagement sowie dem agilen Projektmanagement spezialisiert hat.
Dort findet Ihr u.a. Weiterbildungen nach dem aktuellsten Stand für
- ISO/IEC 27001 – Foundation, Officer oder einen Kombi-Kurs, bestehend aus Foundation und Officer für den perfekten Einstieg in die ISO Welt,
- ISO/IEC 19011 – Auditor für Managementsystemen (auch ISO 27001),
- und vielen weiteren interessanten Weiterbildungsangebote.
Ansonsten stehen wir von der PSW GROUP Consulting gerne beratend an Eurer Seite.