Blog, Datenschutz & Informationssicherheit, Sven Schüldink

Die ISO27001 ist eine bedeutende Norm für Informationssicherheits-Managementsysteme (ISMS), welche eine systematische Herangehensweise an die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen fördert. Diese wurde dreimal in den jeweiligen Versionen überarbeitet. Diese Überarbeitungen teilen sich in die nachfolgenden Versionen auf.

  • Version 2005: Die erste Version der ISO/IEC 27001 wurde 2005 veröffentlicht und definierte Anforderungen für Informationssicherheits-Managementsysteme.
  • Version 2013: Die zweite Version wurde im Jahr 2013 veröffentlicht und enthielt eine Reihe von Änderungen, einschließlich der Überarbeitung der Struktur, um besser mit anderen Standards zu harmonisieren, sowie mehr Fokus auf das Risikomanagement und die Überwachung.
  • Version 2017: Die Version von 2017 konzentrierte sich auf die enge Verknüpfung zwischen ISMS, Risikomanagement und Kontrollen bei gleichzeitiger Integration von Datenschutzthemen.
  • Version 2022

Version 2022

In diesem Blog-Beitrag möchten wir daher näher auf die aktuelle Version 2022 eingehen.  Derzeit gibt es nur einen Entwurf für eine deutsche Übersetzung der ISO27001:2022, es ist momentan noch unklar, wann die endgültige deutsche Version veröffentlicht wird. Die ISO 27001:2022 wurde im Oktober 2022 in englischer Sprache veröffentlicht.

Änderungen

Die Änderungen von der Version 2017 zu 200 sind zu im Wesentlichen die Änderungen im Anhang A, der die Kontrollmaßnahmen (Controls) definiert und weniger in den Kapiteln 4 bis 10. Hier im Anhang A gab es formale Änderungen, der nun anstelle von 14 nur noch in vier Bereiche unterteilt ist, nämlich

  • organisatorische,
  • personelle,
  • physische und
  • technologische

Kontrollmaßnahmen.

Es wurden bereits bestehende Punkte teilweise zusammengefasst, allerdings ohne dass dadurch Inhaltliches entfallen wird.

Die wesentlichen Änderungen von ISO 27001:2017 zu ISO 27001:2022 liegen in der Vereinfachung und Reduktion der Controls von 114 auf 93 sowie in der Anpassung an die aktuellen Entwicklungen in der Informationssicherheit. Weitere Änderungen betreffen unter anderem den Fokus auf Risikomanagement, die Verbesserung der Unterstützungsfunktionen, die Erhöhung der Prozess- und Kontextorientierung sowie eine engere Verknüpfung mit anderen Normen und Standards im Bereich der Informationssicherheit, die Behandlung von Cloud-Diensten und die Integration von Datenschutzanforderungen gemäß der Datenschutz-Grundverordnung. Die ISO 27001:2022 dient somit als zeitgemäße und praxisorientierte Grundlage für ein Informationssicherheitsmanagementsystem und trägt zur Stärkung der Datensicherheit sowohl intern als auch extern bei.

Die Norm ISO 27002, die Empfehlungen für Informationssicherheits-Controls gibt, wurde ebenfalls überarbeitet und die Neuerungen von ISO 27002:2022 werden in der aktualisierten ISO 27001 berücksichtigt.

Die Überarbeitung beinhaltet einige Änderungen, die auf die aktuellen Bedrohungen und Risiken für die Informationssicherheit sowie auf die Notwendigkeit einer flexibleren Anwendung der Norm abzielen. Einige der wichtigsten Änderungen sind:

  1. Die Integration von Risikobewertung und -management in den gesamten Lebenszyklus des Informationssicherheitsmanagementsystems (ISMS).
  1. Die Berücksichtigung neuer Technologien und Risiken wie Cloud Computing, Internet of Things (IoT) und künstlicher Intelligenz (KI).
  1. Eine stärkere Betonung der Bedeutung von Mitarbeiterinnen und Mitarbeitern bei der Informationssicherheit und die Notwendigkeit einer umfassenden Schulung und Sensibilisierung.
  1. Eine flexiblere Anwendung der Norm, um unterschiedliche Kontexte und Bedürfnisse von Organisationen besser zu berücksichtigen.
  1. Eine klarere Sprache und Strukturierung der Norm, um ihre Anwendbarkeit und Verständlichkeit zu verbessern.

Neue Controls hinzu

Elf neu definierte Kontrollmaßnahmen sind hinzugekommen, welche die Entwicklung im aktuellen Stand der Technik abdecken sollen, diese sind die folgenden:

  • Organisatorische Kontrollmaßnahmen
    • A.5.7 Threat intelligence (Bedrohungsinformationen)
      • Um ein umfassendes Verständnis der gegenwärtigen Bedrohungslandschaft zu erlangen, müssen Unternehmen Informationen über existierende und aufkommende Bedrohungsrisiken sammeln und analysieren. Dabei ist es von Bedeutung, die strategischen, taktischen und operativen Aspekte zu berücksichtigen.
    • A.5.23 Information security for use of cloud services (Informationssicherheit für die Nutzung von Cloud-Diensten)
      • Durch verstärktes Augenmerk auf Cloud-Dienste wird das Management von Dienstleistern auf den neuesten Stand gebracht. Dabei müssen unter anderem die Verantwortlichkeiten zwischen Anbieter und Unternehmen definiert werden. Außerdem muss die Thematik von Multicloud berücksichtigt werden, das heißt, wie mit der Nutzung mehrerer Cloud-Provider umzugehen ist.
    • A.5.30 ICT readiness for business continuity (IKT-Bereitschaft für Geschäftskontinuität)
      • Als neue Kontrollmaßnahme wird gefordert, im Rahmen des Business Continuity Managements (BCM) eine Business Impact Analysis (BIA) durchzuführen. Diese umfasst die Festlegung eines Ziels für den maximal akzeptablen Zeitraum bis zur Wiederherstellung der Geschäftsprozesse nach einer Störung (Recovery Time Objective, RTO) sowie die Identifizierung von Aktivitäten, die Priorität haben sollten. Darüber hinaus können auch Vorgaben bezüglich des akzeptablen Datenverlusts im Falle einer Störung festgelegt werden (Recovery Point Objectives, RPO).
  • Physische Kontrollmaßnahme
    • A.7.4 Physical security monitoring (Physische Sicherheitsüberwachung)
      • Es ist erforderlich, eine ständige Überwachung der Firmenräumlichkeiten durchzuführen, um unbefugten physischen Zugang zu erkennen und zu verhindern.
  • Technologische Kontrollmaßnahmen
    • A.8.9 Configuration management (Konfigurationsmanagement)
      • Es ist notwendig, Härtungskonfigurationen für Hardware, Software, Services und Netzwerke einzuführen, dokumentieren und regelmäßig überwachen. Um dies effizient umzusetzen, sollten standardisierte Vorlagen erstellt werden.
    • A.8.10 Information deletion (Löschung von Informationen)
      • Es ist erforderlich, nicht mehr benötigte Informationen gemäß Vorgaben zu löschen. Diese Maßnahme dient der Vermeidung von unnötigen Datenschutzrisiken und trägt zur Verbesserung der Compliance bei.
    • A.8.11 Data masking (Datenmaskierung)
      • Um eine höhere Sicherheit sensibler personenbezogener Daten zu gewährleisten, sollten diese durch Anonymisierung oder Pseudonymisierung geschützt werden.
    • A.8.12 Data leakage prevention (Verhinderung von Datenlecks)
      • Eine Identifizierung und Überwachung kritischer Informationen im Unternehmen ermöglicht einen effektiveren Schutz gegen missbräuchlichen und unerlaubten Zugriff. Zu diesen kritischen Informationen können unter anderem personenbezogene Daten, Preismodelle und Produktdesigns gehören.
    • A.8.16 Monitoring activities (Überwachungstätigkeiten)
      • Eine kontinuierliche Überwachung von Netzwerken, Systemen und Anwendungen ist notwendig, um abnormales Verhalten frühzeitig zu erkennen. Um eine solche Erkennung zu ermöglichen, ist es erforderlich, zunächst das normale Verhalten jeder einzelnen Komponente zu definieren.
    • A.8.23 Web filtering (Webfilterung)
      • Eine Möglichkeit zur Risikoreduzierung von Malware und unautorisierten Webressourcen besteht darin, den Zugang zu externen Webseiten zu kontrollieren. Hierfür können verschiedene Maßnahmen wie das Blacklisting/Whitelisting von IP-Adressen und Webseiten, die E-Mail-Quarantäne sowie die Einschränkung von Downloads eingesetzt werden.
    • A.8.28 Secure coding (Sichere Codierung)
      • Es wird vorgeschrieben, dass bei der Softwareentwicklung verbindlichere Regeln für Secure Coding eingehalten werden müssen. Dazu gehört unter anderem eine Funktionstrennung.

Unternehmen sollten sich darauf vorbereiten, ihre ISMS-Systeme an die neuen Anforderungen anzupassen.

Maßnahmen

Die Überleitung von der ISO27001:2017 auf die Version ISO27001:2022 umfasst eine Reihe wesentlicher Änderungen, die bei der Aktualisierung des Informationssicherheitsmanagementsystems (ISMS) zu beachten sind. Einige der wichtigsten Änderungen sind:

  1. Anpassung an den Kontext der Organisation:
    1. Überprüfung der Informationssicherheits-Politik und Aktualisierung an die aktuellen Anforderungen
    2. Berücksichtigung der Risiken und Chancen in Bezug auf die Informationssicherheit
    3. Definition des Kontextes der Organisation und ihrer Stakeholder
  2. Fokussierung auf die Führung:
    1. Klare Rollen und Verantwortlichkeiten innerhalb des ISMS
    2. Verbesserte Kommunikation und Zusammenarbeit zwischen der Führungsebene und anderen Stakeholdern
  3. Stärkung des Risikomanagements:
    1. Risikobewertung und Risikomanagementprozess, der mit den Geschäftsprozessen verknüpft ist
    2. Business Continuity- und Disaster Recovery-Pläne
  4. Verbesserte Unterstützung:
    1. Sicherstellung von Ressourcen und Kompetenzen im Bereich Informationssicherheit
    2. Schulung und Sensibilisierung der Mitarbeiter
    3. Etablierung geeigneter Kommunikationskanäle
  5. Betriebsmanagement:
    1. Incident- und Change-Management-Prozesse
    2. Management von Informationen und Kommunikation
    3. Protokollierungs- und Überwachungsprozesse
  6. Leistungsbewertungsprozesse:
    1. Bewertung der Performance des ISMS und seiner Komponenten
    2. Verwendung von Metriken zur Bestimmung des Fortschritts und der Effektivität des ISMS

Es ist wichtig, dass Organisationen sicherstellen, dass ihre ISMS-Systeme auf den neuesten Stand gebracht werden, um den Anforderungen der ISO27001:2022 zu entsprechen. Es kann jedoch hilfreich sein, eine allgemeine Checkliste für die Implementierung und Überprüfung eines ISMS zu verwenden, um sicherzustellen, dass alle Anforderungen an die ISO27001:2022 erfüllt sind. Eine solche Checkliste könnte beinhalten:

  1. Überprüfung der bestehenden ISMS-Prozesse und -Dokumentationen auf Konformität mit der neuen Version der Norm.
  2. Schulung des Personals, um sicherzustellen, dass sie die neuen Anforderungen der Norm verstehen und umsetzen können.
  3. Identifizierung der relevanten Parteien und deren Anforderungen an die Informationssicherheit und deren Integration in das ISMS.
  4. Bewertung und Verbesserung des Risikomanagementprozesses und Integration datenschutzbezogener Anforderungen und Prozesse.
  5. Überprüfung der vorhandenen technischen und organisatorischen Maßnahmen zur Informationssicherheit und Implementierung neuer Maßnahmen, um die Anforderungen der neuen Norm zu erfüllen.
  6. Regelmäßige Überwachung, Messung und Bewertung der Leistung des ISMS und gezielte Verbesserungen zur kontinuierlichen Steigerung der Effektivität.
  7. Durchführung interner Audits und Managementbewertungen zur Überprüfung der Wirksamkeit des ISMS.

Es ist wichtig zu beachten, dass diese Maßnahmen je nach den spezifischen Anforderungen der Organisation angepasst werden müssen und dass eine effektive Umsetzung der ISO27001:2022 auch eine kontinuierliche Überwachung und Verbesserung des ISMS erfordert.

Umstellung

Bis 31. Oktober 2025 müssen alle ISO 27001-Zertifikate auf die neue Version ISO/IEC 27001:2022 umgestellt sein. Bestehende Zertifikate nach ISO/IEC 27001:2013 oder DIN EN ISO/IEC 27001:2017 haben eine Übergangsfrist von drei Jahren ab dem Veröffentlichungsmonat der neuen Norm (Oktober 2022). Erstzertifizierungen müssen ab dem 31. Oktober 2023 gemäß der neuen Norm durchgeführt werden. Die Umstellung der Zertifikate durch die Konformitätsbewertungsstellen ist erst möglich, wenn diese nach der neuen Norm akkreditiert sind. Die Deutsche Akkreditierungsstelle (DAkkS) wird das entsprechende Umstellungskonzept bekannt geben.

Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.