Daten werden zu Waffen!
Ob Kreditkartennummern, Verträge, Warenbestellungen oder Patientenakten – alle Arten von Daten werden von Cyber-Kriminellen durch Netzwerk-Angriffe gezielt ausgespäht und missbraucht. Die Motive sind so unterschiedlich wie die Angriffsformen. Daher ist für jedes Unternehmen ein ISMS – Information Security Management System – als grundlegende Schutzvorrichtung ein notwendiges Investment.
Aufbau eines ISMS nach ISO 27001
Welche Arbeitspakete für ein ISMS im Detail notwendig sind, ergibt sich aus branchenspezifischen Anforderungen, die mit der Umsetzung von IT Sicherheitsstandards erfüllt werden. Der bekannteste Standard, der ISMS-Anforderungen definiert, ist die ISO 27001. Diese eignet sich aufgrund ihres generischen Ansatzes für jede Unternehmensbranche und verfolgt das Ziel einer internationalen Anerkennung der Informationssicherheit in Ihrem Unternehmen.
Die ISMS-Implementierung ist jedoch ein sehr komplexes Thema, das verschiedenste Themen und Ressourcen umfasst und zwischen 6-12 Monate dauern kann. Eine Einführung ist aber nicht nur aufgrund vertraglicher oder gesetzlicher Vorgaben für viele Unternehmen verpflichtend, sondern auch ein kritischer Erfolgsfaktor in Zeiten der Digitalen Transformation und ständig steigender Cyber Kriminalität.
Es ist sinnvoll, kompetente Berater für den Aufbau oder die Erhöhung des Reifegrades hinzuziehen, um die rechtzeitige und budgetgerechte die Zertifizierungsreife Ihres ISMS zu erreichen. Benötigt wird langjährige Verfahrenskenntnisse im Prozess-Management sowie technische, organisatorische, juristische Kompetenz in der Informationssicherheit auf ihrem neusten Entwicklungsstand.
Denn wie auch die Angriffe entwickelt sich die Regulatorik/Verteidigung der Informationssicherheit ständig weiter. So wurde im März 2022 die neue Version der ISO:IEC 27002 veröffentlicht. Diese Aktualisierung definiert Sicherheitsmaßnahmen nach neustem Stand der Technik und stellt den Standard-Leitfaden zur Umsetzung der Anforderungen aus dem Annex A der ISO/IEC 27001 dar.
Was ist die ISO/IEC 27002 genau?
Ein Leitfaden, in dem diverse Informationssicherheitsmaßnahmen beschrieben werden und für Organisationen jeder Größe konzipiert ist. Dieser Leitfaden unterstützt die Erfüllung der Anforderungen aus dem Annex A der ISO:IEC 27001. Des Weiteren kann die ISO:IEC 27002 auch von Unternehmen verwendet werden, die Informationssicherheitsmaßnahmen festlegen und implementieren wollen, ohne ein Managementsystem nach ISO:IEC 27001 zu betreiben.
Was ist seit 2022 neu?
Zunächst der Titel: Aus „Information technology – Code of practice for information security controls“ wird „Information security, cybersecurity and privacy protection — Information security controls“. Heißt: es erfolgte eine neue Gewichtung der Controls – also des Überprüfungsmechanismus, wie stabil Ihre Verteidigung wirklich ist.
Zudem wurde die Struktur des Dokuments geändert. Die bisher 14 Abschnitte mit ihren 35 Maßnahmenzielen und 114 Controls (Maßnahmen) wurden abgeschafft. Diverse Controls wurden inhaltlich zusammengelegt und aktualisiert; dafür folgende Controls sind neu hinzugekommen:
- Threat intelligence
- Information security for use of cloud services
- ICT Readiness for Business Continuity
- Physical security monitoring
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Monitoring activities
- Web filtering
- Secure coding
Durch die Änderung der Struktur werden nun insgesamt 93 Controls in vier Themen kategorisiert:
- Organizational Controls (37 Controls)
- People Controls (8 Controls)
- Physical Controls (14 Controls)
- Technological Controls (34 Controls)
Die Kategorien wiederum werden mit Attributen verknüpft, um die Controls zu sortieren bzw. zu filtern. Damit können verschiedene Ansichten erstellt werden, die es ermöglichen, Themen aus einer bestimmten Perspektive zu betrachten und zielgruppengerecht darzustellen.
Und jetzt?
Die Änderung der ISO/IEC 27002 erfordert auch eine Änderung vom Annex A der ISO/IEC 27001, deren finalisierte Veröffentlichung in der nächsten Zeit zu erwarten ist.
Insbesondere für Organisationen, die ein ISMS nach ISO/IEC 27001 betreiben oder auf dem Weg dorthin sind, ist es daher ratsam, sich mit den neuen Anforderungen der ISO/IEC 27002 vertraut zu machen. Im Annex B gibt es zur Unterstützung der Migration ein Mapping zu den Controls der Vorgängerversion der ISO/IEC 27002 aus dem Jahr 2013.
Für zertifizierte ISMS und laufende Zertifizierungsverfahren dürfte es nach Veröffentlichung der finalisierten ISO/IEC 27001 eine Übergangsfrist im Rahmen einer „transition phase“ geben. Bei der letzten großen Migration von den Versionen 2005 auf 2013 waren diese ein Jahr für Erst- und Re-Zertifizierungen und bis zu drei Jahre für Überwachungsaudits. Für Fragen, Gap-Analysen und Workshops stehen wir Ihnen daher gerne zur Verfügung.