Österreich
Secure Your Business
 

Bewährter Security-Standard in neuem Gewand:
ISO/IEC 27001:2013

 

Die neue Version des internationalen Standards für Informationssicherheit ISO/IEC 27001:2013 ist Ende September erschienen und lässt mit interessanten Neuerungen aufhorchen. Schlüssige Kompatibilität mit anderen ISO-Standards, Kosteneffizienz durch zielorientiertes Monitoring sowie mehr Freiheiten beim Riskmanagement sind wichtige Punkte, die die Implementierung und den Betrieb von Informationssicherheit künftig erleichtern sollen. Im Interview dazu: Herfried Geyer, CIS-Auditor für ISO 27001.

 

   

Herr Geyer, welche Vorteile können Anwender von der neuen Version der ISO 27001 erwarten?
Die revolutionäre Neuerung auf der Meta-Ebene ist, dass ISO/IEC 27001:2013 eine homogene Struktur der Hauptkapitel aufweist, welche in naher Zukunft vollständig kDI_HerfriedGeyer_CISAuditor_NL_90ompatibel mit jenen anderer Management-Standards sein wird. Die Inhalte untergliedern sich in: Context of the Organization, Leadership, Planning, Support, Operation, Performance Evaluation und Improvement. Damit ist die Informationssicherheit nahtlos integrierbar mit Notfallmanagement nach 22301, Qualitätsmanagement nach ISO 9001, ISO 20000 für IT Service Management und sogar mit der OHSAS 18001 für Arbeitssicherheit. In der Praxis bringt dies bis zu 30 Prozent Aufwandsersparnis durch Kombi-Audits oder -Reviews und einheitliche Dokumentation.
 

In welchem Zeitraum wird diese Strategie umgesetzt?
Die Normungsgremien verfolgen derzeit eine Rund-Um-Homogenisierung sämtlicher ISO-Standards, die den Betrieb von Managementsystemen ermöglichen. Ziel ist die vollständige Integrierbarkeit. Das war zwar auch bisher schon möglich, allerdings war die Sprache nicht vereinheitlicht. Jetzt erhalten all diese Normen ein einheitliches Textframework mit definierten Schlüsselbegriffen, wobei ISO 27001 eine der ersten novellierten Versionen ist. Bis 2015 wird mit Spannung die neue und homogenisierte ISO 9001 erwartet, die in vielen Unternehmen als Basis-System dient.
  

Gibt es inhaltliche Verbesserungen?
Gut gelungen sind die Anforderungen an die Scope- und Policy-Definitionen, die sich im Kapitel Context of the Organization befinden. Das ISMS wird damit wesentlich näher an den tatsächlichen Bedürfnissen der Unternehmen ausgerichtet. Denn die Normanwender werden darin aufgefordert, ihre Themen individuell und angemessen zu definieren und nicht nur aus anderen Leitbildern zu kopieren. So sollte im Scope auf alle Disziplinen der Informationssicherheit inklusive der technischen, personellen, organisatorischen, vertraglichen und physischen Aspekte eingegangen werden.
  

Was wurde aus dem Plan-Do-Check-Act-Modell?
Das berühmte Modell zur Prozessverbesserung Plan-Do-Check-Act wurde in seiner simplen Form abgelöst, von einem erweiterten Modell zur Implementierung und Optimierung der Informationssicherheit (IS). Es umfasst nun die Stufen: Planung, Support und Ressourcen-Evaluierung, Betrieb, Überprüfen, Verbessern. In der Praxis ist dies ein deutlicher Schritt in Richtung höherer Verantwortung bei Outsourcing oder Nutzung von Cloud Services. Das Einfordern der Ressourcen-Evaluierung bedeutet für die Unternehmen, dass sie sich wirklich damit beschäftigen müssen, welche „Zulieferer“ man für die IS-Implementierung und den IS-Betrieb braucht – ein oft unterschätzter Security-Faktor. Sowohl interne als auch externe Experten und Services zählen hier dazu. Interessant ist in diesem Zusammenhang, dass der ebenfalls novellierte Code of Practice ISO/IEC 27002:2013 dem Thema Supplier Management ein eigenes Kapitel widmet, welches sich inhaltlich optimal mit den Relationship Processes (BRM und SM) der ISO 20000 für IT Services verknüpft. Somit schließt sich der Kreis und die enorme Security-Relevanz von Zulieferern wird damit deutlich betont.

 

Riskmanagement wurde auch neu definiert?
Ja, und die Unternehmen ersparen sich damit einiges an Aufwand – bei gleich gutem Ergebnis. Bisher baute ISO 27001 das Risikomanagement auf Vermögenswerten auf. Das heißt es wurden IS-relevante Assets wierisk_istockphoto-alexl_small Datenbanken, Hardware, Mitarbeiter und ähnliche Risikoträger auf ihr Gefahrenpotenzial hin betrachtet, was aufwendig war. Die neue Version der ISO 27001 setzt nun auf den rein risikobasierten Riskmanagement-Ansatz aus der Norm ISO 31010 für Enterprise RM. Effizient definiert man die Baseline-Security-Anforderungen als breitgefassten gemeinsamen Nenner. Darauf aufbauend werden nur mehr Risikoträger mit höheren Sicherheitsanforderungen für eine detaillierte Risikoanalyse herangezogen. Damit erreicht man de facto ein gutes Sicherheitsniveau mit weniger Aufwand – was auch ein Vorteil hinsichtlich Zertifizierung ist.
 

Warum gibt es weniger Controls – ohne einen Verlust an Genauigkeit?
Die Straffung der Controls oder Kontrollziele sehe ich als gelungene Verbesserung. Statt 133 gibt es nun um 20 Kontrollziele weniger, dafür sind diese aber umso schärfer konturiert und in insgesamt 14 Kapitel aufgeteilt, statt wie bisher in elf. Das heißt bestimmte Inhalte wie beim Notfallmanagement wurden besser auf Informationssicherheit fokussiert und zugeordnet. Insgesamt wurde die Sprache moderner und stärker an den Bedürfnissen der Unternehmen ausgerichtet. Themen wie Mobility oder Projektmanagement-Security werden jetzt besser abgebildet. Generell ist die neue Version der ISO 27001 leichter zu verstehen und eindeutiger zu interpretieren.
  

Was gibt es Neues zum Stichwort Kosteneffizienz?
Da bringt das Kapitel Performance Evaluation sinnvolle Inputs. Mit der neuen ISO 27001 sollen Unternehmen ihre Security-Zielsetzungen jährlich hinterfragen. In der Praxis ist dies ein brisanter Punkt. Denn wenn man gemäß der Norm feststellt, dass eine zuvor eingeführte Sicherheitsmaßnahme – etwa ein modernes SIEM-Tool für Security Incident und Event Management – bei näherer Betrachtung zwar gut funktioniert, aber angesichts der evaluierten Risiken keinen konkreten Mehrwert bringt, dann hat der verantwortliche Entscheider ein Problem. Positiv ist es daher, dass die Norm nun fordert, geplante Security-Maßnahmen von Beginn an auf ihre Zielsetzung hin zu evaluieren und die Gültigkeit der Ziele regelmäßig zu überprüfen. So kann diese Normforderung als Instrument für Kosteneffizienz gesehen werden.

   

Dipl.-Ing. Herfried Geyer ist als international tätiger Berater auf den Bereich Informationssicherheit spezialisiert. Für die akkreditierte Zertifizierungsorganisation CIS fungiert er als ISO-27001-Auditor und Trainer. CIS zertifiziert weltweit ISO 27001, ISO 20000 sowie den Rechenzentrumsstandard ANSI/TIA-942-A.

 update_istockphoto-aquir_web_small_mrr

 


 

 

 

 

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB