Österreich
Secure Your Business
 

Die NEUE ISO/IEC 27001:2013 – ein Blick hinter die Kulissen


Dr. Angelika Plate, Mit-Herausgeberin im Normungsgremium SC 27, gibt Einblicke in den internationalen Revisionsprozess der ISO 27001


(CIS-Newsletter Dez 2013) Die letzte Version der ISO/IEC 27001 für Informationssicherheit wurde im Jahr 2005 veröffentlicht und seither auf der ganzen Welt in großem Umfang angewendet. Generell werden ISO-Standards nach drei Jahren im zuständigen Normenausschuss ISO/IEC JTC1 SC 27 zur Revision vorgeschlagenDr-Angelika-Plate_WEB. Die Überarbeitung der ISO/IEC 27001:2005 begann damit, die strategischen und operativen Ziele sowie die Gesamtstrategie der Revision festzulegen. Vereinbart wurde eine Rückwärts-Kompatibilität von der alten zur neuen Version sowie das Meta-Ziel, nur wirklich notwendige Änderungen vorzunehmen. Ebenso sollten jegliche bestehende Doppelgleisigkeiten zwischen dem Zertifizierungsstandard ISO/IEC 27001 und der Implementation Guideline ISO/IEC 27002 beseitigt werden (so war etwa die Beziehung zwischen der in der ISO 27001 geforderten ISMS-Politik und der in der ISO 27002 erwähnten Informationssicherheitspolitik nicht allen Anwendern klar). Während diese Aktivitäten vor sich gingen, wurde vom ISO Technical Management Board (TMB) eine viel größere Initiative ergriffen. Der ISO TMB beobachtete die Entwicklung der verschiedensten Managementsysteme im ISO-Umfeld, welche gemeinsame Elemente aufweisen. Dazu gehören die ISO 9001 für Qualitäts- oder ISO 14000 für Umweltmanagement. Gemeinsame Elemente sind zum Beispiel das interne Audit, die Management Reviews oder die Anforderungen bezüglich erforderlicher Kompetenzen. Allerdings kommen diese Elemente in unterschiedlichen Kapiteln der jeweiligen Normen vor und verwenden dabei teilweise auch verschiedene Begriffe. Diese Situation macht die Integration mehrerer Managementsysteme für Endanwender unnötig kompliziert. Daher bildete der ISO TMB zwei Arbeitsgruppen mit dem Ziel, folgende Verbesserungen zu entwickeln:

  • Homogene Struktur: Alle Managementsysteme, die auf dieser homogenen Struktur aufbauen, verwenden dann dieselben Punkte und Unterpunkte bis zur ersten Ebene (z.B. 5.1 Führung und Verpflichtung). Damit soll die Interoperabilität und Konsistenz der verschiedenen Managementsysteme gefördert werden.
  • Gleich lautender Kerntext: Alle Managementsysteme haben dann einen homogenen Text auf den oberen Ebenen, welcher jene Aktivitäten beschreibt, die relevant für alle Managementsysteme sind. Und zwar unabhängig von den branchenspezifischen Forderungen, die hinzugefügt werden (z. B. Die Organisation muss die Ressourcen festlegen und bereitstellen, welche für die Erstellung, Umsetzung, Wartung und kontinuierliche Verbesserung des ISMS erforderlich sind).
  • Allgemein gültige Begriffe und Kerndefinitionen: Themen, die für alle Managementsysteme relevant sind – wie z. B. Organisationsaufbau, Ziel oder Kompetenz, wurden für alle Managementsysteme gleichlautend definiert.Zahnraeder_56738084_XS_Coloures-Pic-Fotolia_WEB

Im Jahr 2009 wurden die Aktivitäten des ISO TMB dem SC 27 ersichtlich und nach ausführlichen Diskussionen beschloss der SC 27, die neuen Inhalte hinsichtlich Harmonisierung umzusetzen. Er schickte auch Repräsentanten zu den Arbeitsgruppen-Sitzungen, um sicherzustellen, dass alle Erfahrungen des SC 27 in Bezug auf die ISO 27001 in diesem Entwicklungsprozess Eingang finden. Die endgültige Version der neuen homogenen Struktur, des gleich lautenden Kerntextes und der allgemein gültigen Begriffe wurde im Frühling 2013 im Anhang SL der ISO-Richtlinien veröffentlicht. Nun wird diese auf viele verschiedene Managementsysteme angewandt, einschließlich der ISO 9001 und ISO 14001, welche sich im Rahmen ihrer aktuellen Revision damit beschäftigen.
 

ISO/IEC 27001:2013 – welche Änderungen gibt es?
Die Anwendung der homogenen Struktur, des gleich lautenden Kerntextes und der allgemein gültigen Begriffe auf die ISO 27001 führte zu einer größeren Menge an Änderungen. Dies beginnt beim Aufbau der Norm und führt zu detaillierten Textänderungen, die dazu dienen, den gleich lautenden Kerntext in die für die Informationssicherheit spezifischen Anforderungen der ISO 27001 einzubauen. Eine der größten Herausforderungen bestand dabei in der Vermeidung von doppelgleisigen Inhalten, die zu Problemen für die Anwender führen – so könnten Benutzer diese irrtümlich so verstehen, dass sie sich mit zwei ähnlich klingenden Forderungen jeweils separat befassen müssten. Viele Bemühungen wurden gesetzt, um solche Situationen zu vermeiden. Ende Oktober veröffentlichte der SC 27 auf seiner Homepage ein Dokument, welches alle Änderungen, die an der ISO 27001 und ISO 27002 gemacht wurden, genau beschreibt und als Download zur Verfügung steht. Die wesentlichen Änderungen an der neuen ISO/IEC 27001:2013 sind wie folgt:

  1. Streichung einiger Anforderungen: So hat zum Beispiel die Forderung nach der Erkennung versuchter und erfolgreicher Sicherheitsverletzungen und von Vorfällen mehr mit Kontrolle zu tun als mit dem Managementsystem – solche Forderungen wurden gestrichen.
  2. Einführung neuer Anforderungen: z.B. von jenen im Hinblick auf Sicherheitsziele und Kommunikation – die meisten der neuen Anforderungen ergaben sich aus dem gleich lautenden Kerntext für alle Managementsysteme.
  3. Straffung der Anforderungen: Der gleich lautende Kerntext half dabei, Normforderungen auf die Definitionen zu beschränken, WAS getan werden muss, um das ISMS aufzubauen, ohne auf das umsetzungsspezifische WIE einzugehen.
  4. Änderungen bei der Bewertung von Informationssicherheitsrisiken: Diese neuen Anforderungen wurden so angepasst, dass sie vollständig kompatibel mit denen der ISO 31000 für Enterprise Riskmanagement sind. Zwei Anforderungen in Bezug auf IS-Risiken wurden gestrichen: „Identifizierung der Vermögenswerte“ und „Identifizierung von Bedrohungen und Schwachstellen sowie ihre Verbindung zu den bestehenden Kontrollzielen / Controls“. Die neuen Anforderungen im Hinblick auf die Bewertung von IS-Risiken beziehen sich nun in direkter Übereinstimmung mit der ISO 31000 einfach auf drei Aspekte:
    • Risikoidentifizierung
    • Risikoanalyse
    • Risikobewertung
  5. Anpassungen bei der Behandlung von IS-Risiken: Die Hauptkonzepte wurden beibehalten, die Optionen für die Risikobehandlung wurden an die ISO 31000 angepasst und das „Statement of Applicability“ („Anwendbarkeitserklärung“) ist nach wie vor erforderlich, aber nun als der reine Vergleich zwischen den Controls in Anhang A und jenen Maßnahmen, die als erforderlich für die Behandlung von IS-Risiken erkannt werden.
  6. Beibehaltung der Verknüpfung: Es wurde auch beschlossen, die Verknüpfung mit den Controls der ISO 27002 aufrechtzuerhalten und Anhang A – mit den auf Grund der Revision der ISO 27002 erforderlichen Aktualisierungen – so zu belassen wie zuvor.
  7. Einführung von „dokumentierten Informationen“: Dabei handelt es sich um ein Konzept aus dem gleich lautenden Kerntext, wodurch der Begriff „Dokumente und Aufzeichnungen“ durch „dokumentierte Informationen“ ersetzt wird. Für jeden, der diesem Konzept nicht positiv gegenübersteht, kann eine einfache Neudefinition dieses Problem lösen.
  8. Streichung von „Präventivmaßnahmen“: Die neue ISO/IEC 27001:2013 verwendet nicht mehr das Konzept der „Präventivmaßnahmen“, wie zuvor. Der Grund liegt darin, dass das gesamte Managementsystem selbst als umfassende Präventivmaßnahme gilt.stamp_istock-jimmyjamesbond_WEB

Konsequenzen für Anwender
Organisationen, welche bisher nach ISO/IEC 27001:2005 gearbeitet haben, können die meisten der vorhandenen Prozesse und Verfahren weiterhin verwenden – und dies entweder ganz ohne Änderungen oder nur mit kleineren Anpassungen. So erfordern die Punkte Rekrutierung, Kompetenz, Bewusstsein, interne ISMS-Audits oder Verpflichtung der Leitung nur einige wenige Aktualisierungen. Die Risikobewertung, welche gemäß der Version von 2005 durchgeführt wurde, sollte auch für die Version 2013 verwendbar sein. Dennoch sollten Organisationen einen Umstieg auf die neue Version in Betracht ziehen. Denn die Risikobewertung gemäß ISO/IEC 27001:2005 war auf Vermögenswerten aufgebaut, was zu einem großen Detaillierungsgrad führen konnte. Der neue Ansatz der Bewertung von Informationssicherheitsrisiken ist jetzt in Anlehnung an die ISO 31000 rein risikobasiert, was dabei helfen kann, unnötige Wiederholungen zu vermeiden. Insgesamt ist der Implementierungsaufwand für die ISO/IEC 27001:2013 im Vergleich zur Vorgängerversion in etwa derselbe. Bei der neuen Version wurde mehr Augenmerk auf die Anforderungen im Hinblick auf das Managementsystem gelegt, während die Einzelheiten bezüglich Informationssicherheit auf ein für das Managementsystem erforderliche Ausmaß reduziert wurden. Generell eröffnet die neue Norm dem Anwender aber mehr Möglichkeiten, den am besten geeigneten Weg zur Umsetzung der Anforderungen selbst zu bestimmen. Und solange eine Organisation diese Möglichkeiten voll ausschöpfen kann, wird die Umsetzung des neuen Zertifizierungsstandards leichter und vorteilhafter sein, als mit der Vorgängerversion.


Die Autorin Dr. Angelika Plate ist als „Head of UAE Delegation“ (United Arab Emirates) im internationalen Normungsgremium ISO/IEC JTC1 SC 27 vertreten und fungiert als Mit-Herausgeberin der revidierten ISO/IEC 27001:2013. Ebenso ist sie als Beraterin auf dem Gebiet der Informationssicherheit weltweit tätig und anerkannt. Für die CIS war sie auf dem 7. Information-Security-Symposium in Wien als Key Note Speakerin präsent. Angelika.Plate@helpag.com

 

_______________________
Für den Inhalt verantwortlich:

CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB