Österreich
Secure Your Business
 

Zuwachs in der ISO-27k-Familie: Updates und Neuzugänge

 

Zwischen ISO 27000 und ISO 27799 hat sich in den vergangenen Monaten viel Neues getan. Einige Leitfäden sind neu hinzugekommen, andere wurden aktualisiert. Ein Überblick.

 

(CIS-Newsletter Juni 2017) - Der beliebte und praxisnahe Implementierungsleitfaden ISO 27003 der Normenreihe ISO 27k für Informationssicherheit, der die meist abstrakten und generischen Formulierungen der übergeordneten Zertifizierungsnorm ISO 27001 detaillierter ausführt, wurde im März 2017 in seiner aktuellen Version ISO/IEC 27003:2017 publiziert. Das grundlegend überarbeitete Update bezieht sich nun vollinhaltlich auf die geltende Zertifizierungsnorm ISO/IEC 27001:2013. Dem System der homogenen Strukturen folgend weist die ISO/IEC 27003:2017 dieselben Hauptkapitel wie ISO/IEC 27001:2013 auf und liefert in jedem Kapitel praxis-orientierte Erklärungen sowie klar formulierte Empfehlungen als Ergänzung zu den ISO-27001-Forderungen – um die normkonforme Implementierung eines Informationssicherheits-Managementsystems (ISMS) zu erleichtern. Während zum Beispiel in Kapitel 4.1, „Understanding the organization and its context“ in ISO 27001 ohne weitere Ausführungen nur von „external and internal issues“ die Rede ist, bietet ISO 27003 hierzu wertvolle Erläuterungen, nämlich dass etwa „internal issues“ Elemente umfassen wie die Unternehmenskultur, die Unternehmensphilosophie und Policies ebenso wie auch die Ziele und die Strategien zur Zielerreichung sowie Organisationsstrukturen, Rollen und Verantwortlichkeiten. Auch andere mögliche Elemente werden erörtert. Darüberhinaus beschäftigt sich die ISO 27003 noch auf einer weiteren ganzen Seite mit steps400Beispielen und praktischen Empfehlungen für diesen Bereich. So detailliert und „anwederfreundlich“ gestalten sich die Inhalte über sämtiche Kapitel, mit dem Ziel den Anwendern die Intentionen der Zertifizierungsnorm ISO 27001 möglichst verständlich und umsetzungsorientiert näher zu bringen.

  

ISO/IEC 27004:2016 – Monitoring and Measurement
Die noch recht theoretisch gestaltete Vorgängernorm ISO/IEC 27004:2009 wurde im Dezember des Vorjahres abgelöst und von der umfassend überarbeiteten Version „ISO/IEC 27004:2016 – Information Technology – Security techniques – Monitoring, Measurement, Analysis and Evaluation“ ersetzt. Die neue Version ist deutlich praxisnäher und bezieht sich im wesentlichen auf die folgenden Inhalte: In Kapitel 5 wird die Sinnhaftigkeit von Monitoring und Ergebissmessung dargestellt und in Bezug gesetzt zu übergeordneten Zielen der Leistungssteigerung oder Ergebnissverbesserung. Kapitel 6 beschreibt, welche Kriterien gemessen, überwacht, analysiert und bewertet werden sollten, wann oder wie oft und durch welche Verantwortlichen. Kapitel 7 fokussiert die verschiedenen Arten von Messgrößen und Kennzahlen und unterscheidet zwischen wirksamkeitsbezogenen und effizienzbezogenen Erhebungen (effectiveness and efficiency measures“. Kapitel 8 geht schließlich darauf ein, wie Kennzahlen entwickelt, im ISMS implementiert und zielgerichtet genutzt werden.

 

ISO/IEC 27009:2016 – Sector-specific application
Diese Norm adressiert den Kreis der Norm-Entwickler und ist somit für Anwender irrelevant. Die Norm „ISO/IEC 27009:2016 – Information technology – Security techniques – Sector-specific application of ISO/IEC 27001 – Requirements“ beschäftigt sich mit den offiziellen Anforderungen der Entwicklung branchenspezifischer Standards wie etwa ISO 27001 für Telecommunications oder ISO 27799 für Health Informatics.

 

ISO/IEC 27011:2016 – Controls for Telecommunications
Der erstmals im Jahr 2008 publizierte Branchen-Standard wurde an die Inhalte des zugrunde liegenden aktuellen Code of Practice ISO/IEC 27002:2013 angepasst und im Dezember des Vorjahres unter dem Titel veröffentlicht: „ISO/IEC 27011:2016 Information technology – Security techniques – Code of practice for information security co03_successntrols based on ISO/IEC 27002 for telecommunications organizations“. Der branchen-spezifische Implementierungsleitfaden bietet Prinzipien und Richtlinien für die Einführung und den Betrieb, die Erhaltung und Verbesserung von Informationssicherheitsmaßnahmen im Telekommunikationsbereich. Ergänzend zu den Inhalten der ISO 27002 bietet der Branchen-Leitfaden ISO 27011 ein erweitertes Set von Sicherheitsmaßnahmen mit spezifischen Hinweisen für Telekom-Anbieter in Bezug auf Netzwerksicherheit mit dem Schwerpunkt Cyber-Attacken, aber auch Inhalte wie Access Controls, physische und Umgebungssicherheit oder Compliance.

 

ISO/IEC 27035:2016 – Incident Management
Die einstige Technische Richtlinie aus dem Jahr 2011 namens ISO TR 18044 wird mit der Publikation der neuen „ISO/IEC 27035:2016 Information technology – Security techniques – Information security Incident management“ vollständig ersetzt. Die Sub-Norm aus der ISO-27k-Reihe befasst sich mit den Prozessen zum Management von Sicherheitsvorkommnissen, Sicherheitsvorfällen und Schwachstellen. ISO 27035 basiert auf dem Praxisleitfaden ISO 27002 und erweitert deren Inhalte zum Thema Incident Management, durch In-Beziehung-setzen zu den eForensik-Inhalten aus anderen ISO-27k-Normen. Teil 1 und 2 wurden bereits veröffentlicht, Teil 3 ist noch ausständig.

 

ISO/IEC 27799:2016 Health Informatics
Der bereits im Jahr 2008 publizierte Branchenstandard wurde in Anpassung an die Inhalte der aktuellen Versionen von ISO 27001 und ISO 27002 angepasst und im Vorjahr veröffentlicht unter dem Titel: ISO/IEC 27799:2016 Health informatics — Information security management in health using ISO/IEC 27002 (second edition).

 

Sub-Normen sind nicht zertifizierbar
Alle oben genannten Normen sind nicht-zertifizierbare Sub-Normen im Rahmen der Standard-Reihe ISO 27k. Als zugrunde liegende Referenzen dienen jeweils die Zertifizierungsnorm für Informationssicherheit ISO/IEC 27001:2013 und/oder der Praxisleitfaden ISO/IEC 27002:2013. Der Fokus dieser Sub-Normen liegt darauf, ISO-27001-Anwedern praktische Umsetzungshilfen in verschiedenen Themenbereichen zu liefern.

 

_____________________________________

Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com


 


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB