9 Jahre nach der Veröffentlichung der letzten Version wurde am 25. Oktober 2022 nun eine neue Version der ISO 27001 veröffentlicht: Die ISO/IEC 27001:2022 ist die neue zentrale, international anerkannte Norm zum Thema Informationssicherheitsmanagement. Sie ist der Kern der 27000-Normenreihe und beschreibt die Einrichtung, Umsetzung, Aufrechterhaltung und Verbesserung der Informationssicherheit. Die Zertifizierung nach dieser Norm ist weltweit anerkannt und wird häufig als Nachweis von Kunden, Dienstleistern oder Behörden gefordert, um ein Mindestmaß an Informationssicherheit vorauszusetzen. Die Norm liegt erstmal nur in der englischen (Original)-Fassung vor, eine offizielle deutsche Übersetzung ist erst nächstes Jahr zu erwarten.
Ebenso wurde die ISO/IEC 27005:2022 veröffentlicht, welche sich mit dem Thema Informationssicherheitsrisikomanagement beschäftigt, die Änderungen beleuchten wir in einem weiteren Artikel.
Die neue Version der ISO 27001 hatte sich schon länger angekündigt: am 28. Januar 2021 erschien der Entwurf der ISO/IEC DIS 27002:2021, welche Richtlinien und Empfehlungen zu diversen Kontrollmechanismen für ein verbessertes Informationssicherheitsmanagement in Unternehmen beinhaltet (wir berichteten). Die Struktur des Annexes der ISO 27001 ist mit dem der ISO 27002 identisch, daher deutete eine Änderung der ISO 27002 auch auf eine baldige Änderung des Annexes der ISO 27001 hin.
Ein Jahr später, am 3. Februar 2022 erschien dann der Entwurf der ISO/IEC 27001:2013/DAMD 1, eine Ergänzung zur ISO 27001, die die Struktur der neuen ISO 27002 übernahm und die Controls aus dem Annex entsprechend der neuen Struktur ordnete (wir berichteten). Zwei Wochen später erschien dann auch die neue ISO/IEC 27002:2022 in ihrer finalen Version, ohne nennenswerte Änderungen zur vorherigen Entwurfsfassung.
Am 30. Mai wurde bekanntgegeben, dass das Amendment zur ISO 27001 nicht veröffentlicht wird, stattdessen wurde entschieden, dass eine komplett neue Version der ISO 27001 erscheinen wird.
Was ist neu?
Änderungen im Annex
Die größte Änderung im Vergleich zur Version von 2013 ist die neue Struktur des Annexes der ISO 27001. Diese wurde, wie auch schon im zeitweise veröffentlichten Amendment zu sehen war, der Struktur der ISO 27002 angepasst. Der Annex beinhaltet also wie auch in der alten Version die Controls der ISO 27002, die Control Objectives wurden jedoch entfernt, diese finden sich nur noch in der ISO 27002. Die neu in der ISO 27002 hinzugekommenen, zusätzlichen Attribute wurden nicht übernommen und sind somit ebenfalls nur in der ISO 27002 zu finden.
Inhaltliche Änderungen zu den Controls der aktuellen ISO 27002 gibt es daher keine, die Änderungen zur Vor-Version (2013) haben wir letztes Jahr genauer beleuchtet (wir berichteten), hier eine kurze Zusammenfassung:
- 11 neue Controls wurden hinzugefügt
- 57 Controls wurden insgesamt zusammengefasst
- 1 Control wurde aufgeteilt
- 23 Controls wurden umbenannt
- 35 Controls sind identisch
Die 93 Controls sind nicht mehr in 14 Domains unterteilt, sondern in den 4 Themen „Organizational“, „People“, „Physical“ und „Technological“ Controls dargestellt.
Der einzige Unterschied zwischen dem Annex der ISO 27001 und den Controls aus der aktuellen ISO 27002 liegt in der Formulierung der Anforderungen: Im Annex der ISO 27001 wird das Wort „shall“ verwendet, die Anforderungen sind hier somit obligatorisch formuliert, während die ISO 27002 das Wort „should“ verwendet, die Anforderungen sind also nur als Empfehlung zu verstehen.
Beispiel:
Information security shall be integrated into project management. (ISO 27001)
Information security should be integrated into project management. (ISO 27002)
Eigene Übersetzung:
Die Informationssicherheit muss in das Projektmanagement integriert werden. (ISO 27001)
Die Informationssicherheit sollte in das Projektmanagement integriert werden. (ISO 27002)
Die im Annex aufgeführten Anforderungen stellen nach wie vor keinen Anspruch auf Vollständigkeit, und es können zusätzliche Anforderungen erforderlich sein. Es steht Unternehmen außerdem wie auch bisher frei, die Anforderungen aus anderen Quellen (NIST Cybersecurity Framework, BSI IT-Grundschutz, ISF etc.) zu verwenden, um ihre Informationssicherheitsrisiken zu mindern. Es ist lediglich eine Erklärung zur Anwendbarkeit zu erstellen, welche ein Mapping von den gewählten Maßnahmen zu den Controls des Annexes der ISO 27001 und die erforderlichen Gründe zur Auswahl enthält. Damit wird bestätigt, dass keine Anforderungen vernachlässigt wurden, die tatsächlich anwendbar und notwendig sind, um vorliegende Risiken zu mindern (vgl. ISO 27001, Kapitel 6.1.3).
Änderungen in den Hauptkapiteln
In den Hauptkapiteln der ISO 27001 gab es nur wenig relevante inhaltliche Änderungen.
Wie auch andere ISO-Normen, die Anforderungen an ein Managementsystems beschreiben (z.B. ISO 9001, ISO 14001, ISO 22301), folgt auch die ISO 27001 einem einheitlichen Aufbau, der sogenannten „Harmonized Structure“ des Annex SL der ISO/IEC Directives, Part 1. Da sich diese Struktur 2021 geändert hat, wurden die Hauptkapitel der ISO 27001 entsprechend angepasst.
Folgende Änderungen haben sich dadurch in den Hauptkapiteln gegeben:
Kapitel 3 - Begriffe und Definitionen: Die Begriffe und Definitionen wurden nicht wie in der ISO 27002 übernommen, stattdessen wird weiterhin auf die ISO 27000 verwiesen. Ferner wird außerdem auf die Terminologie-Datenbanken der ISO und IEC verwiesen.
Kapitel 4 - Kontext der Organisation: Die Organisation muss nun zusätzlich zur Festlegung relevanter Anforderungen von interessierten Parteien auch definieren, welche dieser Anforderungen im Rahmen des ISMS adressiert werden (Kapitel 4.2). Die Organisation muss entsprechend den Anforderungen dieses Dokuments ein Informationssicherheitsmanagementsystem aufbauen, verwirklichen, aufrechterhalten und fortlaufend verbessern, mit der neuen Version auch einschließlich der benötigten Prozesse und ihrer Wechselwirkungen (Kapitel 4.4).
Kapitel 6.2 - Informationssicherheitsziele: Zusätzlich zu den Anforderungen, die die Informationssicherheitsziele betreffen, wurde nun noch aufgenommen, dass diese überwacht und als dokumentierte Information verfügbar sein müssen.
NEU Kapitel 6.3 - Management von Änderungen: Kapitel 6 wurde um den Unterabschnitt 6.3 „Planung für Änderungen“ ergänzt, der die Notwendigkeit beschreibt, Änderungen am ISMS in einer geplanter Weise durchzuführen.
Kapitel 8.1 – Operative Planung und Steuerung: Die Organisation muss die Prozesse zur Erfüllung der Anforderungen und zur Durchführung der in Kapitel 6 bestimmten Maßnahmen planen, verwirklichen und steuern, indem sie nun auch
- Kriterien für die Prozesse festlegt,
- die Steuerung der Prozesse gemäß den Kriterien verwirklicht.
Die Organisation muss jetzt auch sicherstellen, dass extern bereitgestellte Prozesse, Produkte oder Dienstleistungen, die für das Informationssicherheitsmanagementsystem relevant sind, gesteuert werden.
Kapitel 9 - Bewertung der Leistung: Kapitel 9 fordert dokumentierte Informationen über die Bewertung der Leistung (Performance evaluation). Zwei der drei Unterkapitel wurden wiederum in weitere Unterkapitel aufgeteilt, blieben dabei aber größtenteils identisch.
Kapitel 9.3 - Management Review: Die Managementbewertung muss nun auch die „Änderungen der Bedürfnisse und Erwartungen interessierter Parteien, die für das Informationssicherheitsmanagementsystem relevant sind“ erfassen.
Kapitel 10 - Kontinuierliche Verbesserung: Kapitel 10 wurde neu geordnet, sodass die Aussage, die Eignung, Angemessenheit und Wirksamkeit des ISMS kontinuierlich zu verbessern, vor dem Unterabschnitt über die Nichtkonformität steht, mit dem Ziel, Verbesserungen statt Korrekturmaßnahmen zu fördern.
Eine der wesentlichen Änderungen in den Hauptkapiteln ist damit die Fokussierung auf Prozesse: Ein neuer Zusatz in Kapitel 4.4 fordert den Aufbau eines ISMS, einschließlich der benötigten Prozesse und ihrer Wechselwirkungen. In Kapitel 8.1 sollen Kriterien für Prozesse festgelegt werdenund Prozesse gemäß diesen Kriterien gesteuert werden, außerdem wird dies für extern bereitgestellte Prozesse verlangt.
Auch die Umsetzung der Forderung des neuen Kapitels 6.3 „Planning of Changes“, Änderungen an einem ISMS planmäßig vorzunehmen, wird typischerweise über einen Prozess erfolgen.
Wie geht es mit weiteren ISO-Normen weiter?
Nachdem nun der Annex der ISO 27001 und die ISO 27002 eine neue, einheitliche Struktur erhalten haben, gibt es eine ganze Reihe weiterer Normen, deren Struktur sich aktuell noch an der alten ISO 27001 orientiert:
- ISO 27010: Anforderungen für Unternehmen mit organisations- und sektorübergreifender Kommunikation
- ISO 27011: Anforderungen für Telekommunikationsorganisationen
- ISO 27017: Anforderungen für Unternehmen mit ausgelagerten Cloud Services
- ISO 27018: Anforderungen für Unternehmen mit personenbezogenen Daten in öffentlichen Cloud Services
- ISO 27019: Anforderungen für Unternehmen im Energie-Sektor
- ISO 27799: Anforderungen für Unternehmen im Gesundheitswesen
- und weitere…
All diese Normen konkretisieren die ISO 27002 mit branchenspezifischen Anforderungen und werden daher vermutlich zeitnah auf die neue Struktur angepasst.
Was müssen Unternehmen jetzt tun?
Wenn ein Unternehmen über ein vollständig implementiertes ISMS verfügt, ist ein gänzlicher Umbau nicht notwendig, da die Hauptkapitel der ISO 27001 inhaltlich unverändert geblieben sind. Häufig mappen aber Unternehmen ihre Vorgaben auf die Maßnahmen aus dem ISO 27001 Annex. Dieses Mapping müsste dann entsprechend angepasst werden. Dafür bietet die ISO 27002 eine gute Übersicht über die Zuordnung zwischen neuen und alten Controls an.
Sofern noch nicht vorhanden, sind außerdem die bestehenden Prozesse und ihre Wechselwirkungen angemessen zu dokumentieren. Dabei sind nicht nur die originären ISMS-Prozesse, wie etwa das Risikomanagement gemeint, sondern auch Prozesse, die zur Risikobehandlung (Kapitel 6.1) und zur Erreichung der Informationssicherheitsziele (Kapitel 6.2) umgesetzt werden. Dies sind etwa Maßnahmen aus dem Annex, die in der ISO 27002 den „Operational Capabilities“ zugeordnet wurden, z.B. das Asset Management.
Die Prozess-Dokumentation kann über bestehende Vorgaben geschehen oder alternativ kann neue Dokumentation angelegt werden. Dabei sollten für alle Prozesse formale Prozessmodellierungen, etwa über Business Process Modeling Notation (BPMN) mit klaren Definitionen von deren Wechselwirkungen vorliegen.
Insgesamt soll eine Konzentration auf die Umsetzung und Verbesserung dieser Prozesse erreicht werden, und dies soll zu einer besseren Übersicht und einer effizienteren Arbeitsweise führen.
Doch dafür bleibt ausreichend Zeit: Auch nach der offiziellen Veröffentlichung bleiben 3 Jahre (bis zum 31. Oktober 2025), um das eigene ISMS auf die neuen Anforderungen anzupassen. Zertifizierungsunternehmen müssen bereits ab Oktober 2023 damit beginnen, Zertifizierungen nach der neuen Version anzubieten. Sofern aktuell ein neues ISMS nach ISO 27001 geplant und implementiert wird, bietet es sich dagegen an, sich bereits an den neuen Maßnahmen zu orientieren, um eine spätere Harmonisierung zu vermeiden - sei es bei der Richtlinienerstellung oder im Risikomanagement.
Die hier beschriebenen Änderungen, noch weitere Neuerungen der ISO 27005 und ISO 27001 und unsere detailliertere Bewertung, nicht zuletzt mit Bezug zu konkreten Beispielen aus der Praxis, haben unsere Security Consultants im Webinar "ISO 27001 und ISO 27005 - Was Sie über die Updates wissen sollten" vom 24.11.2022 dargestellt. Die Aufzeichnung können Sie hier anschauen.
