PSW Group: Bewegung bei den Normen hat Auswirkungen auf Unternehmen
Änderungen bei ISO 27002 und 27001
Seit Jahren unterstützt die internationale ISO/IEC 27000-Normenwelt Unternehmen darin, Informationssicherheit effizient und ganzheitlich zu handhaben und Informationssicherheitsrisiken zu reduzieren. Vor Kurzem ist nun Bewegung in diese Normenfamilie gekommen: 2022 hat die International Accreditation Forum (IAF) zunächst die ISO 27002 und im Oktober dann auch die ISO 27001 überarbeitet und in allen Bereichen an die aktuelle Bedrohungslage angepasst.
Patrycja Schrenk, IT-Sicherheitsexpertin und Geschäftsführerin der PSW Group, begrüßte in einer Mitteilung die Änderungen der Normen: „Neben mehr Praxisnähe kommt jetzt insbesondere das Thema Datenschutz neben der Informationssicherheit stärker zum Tragen. In Zeiten der Zunahme von Attacken auf Organisationen bietet insbesondere der neue Blickwinkel auf die Cybersicherheit und den Datenschutz für die Unternehmen einen echten Mehrwert, die bisher nur die Compliance auf dem Schirm und das Thema Informationssicherheits-Management-System eher als Last empfunden hatten.“
Die ISO 27001 ist der internationale Standard für die Realisierung eines Informationssicherheit-Management-Systems (ISMS). Ein ISMS nach ISO 27001gewährleistet, dass Daten sowohl optimal genutzt als auch sicher verwahrt werden. Die ISO 27002 ergänzt die Sicherheitsmaßnahmen der ISO 27001 um konkrete Umsetzungsempfehlungen und stellt damit eine Art Leitfaden bereit. Mit der Neufassung der beiden ISO-Normen gibt es umfangreiche Änderungen, sowohl an der Struktur, wie auch beim Inhalt.
Sofort auffällig bei der ISO 27001:2022 ist bereits die Namensänderung: Aus „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“ wurde mit der Neufassung „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“. „Bereits der neue Titel macht klar, dass sich die Schutzziele verändert haben. Cybersicherheit und Datenschutz erhalten einen größeren Stellenwert und werden explizit hervorgehoben. Insgesamt sind die neuen Maßnahmen praxisnäher geworden und in der Beschreibung detaillierter. Sie adressieren die neuen Aspekte Datenschutz und Informationssicherheit verstärkt, und sind vor allem auch zusammengefasst, wo zuvor einzelne Maßnahmen für sich alleinstehend wenig Sinn ergeben haben“, erklärte Schrenk weiter.
So wurden 114 Maßnahmen zu 93 in den neuen Versionen zusammengefasst, wobei dort bereits elf neue Maßnahmen enthalten sind. Zudem hat jede Maßnahme nun einen eigenen Zweck.
„Die Neuerungen in der überarbeiteten Fassung der ISO 27001 sind erkennbar, jedoch erfordern sie in Unternehmen keinen völlig neuen Umgang mit dem Thema Informationssicherheit oder irgendwelchen größeren Veränderungen an einem bereits bestehenden Informationssicherheits-Management-System“, so die Sicherheitsexpertin. Mit der ISO 27001:2022 würden vielmehr längst überfällige Anpassungen an das wachsende Verständnis von Informationssicherheit vorgenommen. In ihren wesentlichen Aussagen und Anforderungen sei sie jedoch identisch zur Vorgängerversion.
Die wesentlichsten Änderungen der ISO 27002 lassen sich bereits bei der Betrachtung des Inhaltsverzeichnisses erkennen: Aus ursprünglich 14 Abschnitten werden vier Themenbereiche, die grob die Maßnahmen nach personellen, physischen und technischen Maßnahmen strukturieren. Maßnahmen, die sich keinem dieser Bereiche zuordnen lassen, finden sich im Thema der organisatorischen Maßnahmen. Die neue Struktur sorgt damit für deutlich mehr Übersicht
Das International Accreditation Forum hat sich auch zu den Übergangsfristen zur Umstellung auf die neue ISO 27001 geäußert und sie auf drei Jahre festgelegt. Die Frist liegt damit im regulären Re-Zertifizierungsrhythmus, nach dem zertifizierte Unternehmen alle drei Jahre einen komplett neuen Auditprozess durchlaufen müssen, um ihre Zertifizierung aufrechtzuerhalten.
Was das konkret bedeutet, erklärt Schrenk: „Für die Umstellung aller bestehenden Zertifikate auf die neue ISO 27001:2022 haben Unternehmen drei Jahre Zeit, bezogen auf den letzten Tag des Ausgabemonats, der ja im Oktober 2022 war, – also bis Oktober 2025. Unternehmen, die sich nach der neuen ISO 27001:2022 zertifizieren lassen möchten, können dies voraussichtlich ab Februar dieses Jahres tun.“ Abhängig von der Deutschen Akkreditierungsstelle könne sich dieser Termin auch noch ein paar Wochen nach hinten bis in den April hinein verschieben. Der letzte Termin für ein Erst- oder Rezertifizierungsaudits nach der früheren ISO 27001:2013 ist 18 Monate nach Veröffentlichung der neuen ISO 27001:2022 möglich. Da die Neufassung im Oktober 2022 veröffentlicht wurde, sei also noch bis Ende des ersten Quartals 2024 Zeit dafür.
Unternehmen, die aktuell nach der Vorgängerfassung zertifiziert sind, können sich folglich beim nächsten regulär anstehenden Audit nach der ISO 27001:2022 zertifizieren lassen. Das Gleiche gilt für Unternehmen, die sich erstmals zertifizieren lassen möchten. „Grundsätzlich ist das Audit noch bis Oktober 2025 auch nach der Vorgängerversion möglich. Ich rate jedoch zur Zertifizierung nach der neuen Fassung. Denn dann muss nach Ablauf der Übergangsfrist keine erneute Auditierung angesetzt werden“, so Schrenk.
Sukzessive werden auch weitere Normen, die sich an der ISO 27001 sowie der ISO 27002 ausrichten, aktualisiert. Dies sind insbesondere die Umsetzungsleitfäden der ISO 27001, wie auch die branchen- und maßnahmenspezifischen Leitfäden der ISO 27002. Bereits zeitgleich mit der neuen ISO 27001 zeigt sich beispielsweise bereits die Norm ISO 27005, die eine Anleitung zum Risikomanagement darstellt, aktualisiert. „Es bleibt abzuwarten, in welche Richtung sich die Normen weiterbewegen, wenngleich zunächst etliche Normen erst einmal an die neuen Strukturen angeglichen werden, bevor mit neuen Aktualisierungen zu rechnen ist. Auch bleibt abzuwarten, wie nun andere Standards, die sich an der ISO 27000er-Normenfamilie orientieren, auf die Veränderungen reagieren. Dies sind unter anderem VDA-ISA und das TISAX-Label-Programm, wie auch der BSI IT Grundschutz und (C)ISIS12“, so Schrenk abschließend.
Verwandte Artikel
PSW GROUP GmbH & Co. KG
US-Überwachungsgesetze größte Hürde für das…
PSW Group kommentiert Trans-Atlantic Data Privacy…
PSW Group: DDoS-Gegenmaßnahmen
DDoS-Attacken erkennen und abwehren
PSW-Group: GPS-Tracking nur nach Einwilligung von…
Auch ein elektronisches Fahrtenbuch ist…
PSW Group
US-Überwachungsgesetze größte Hürde für das…
PSW Group kommentiert Trans-Atlantic Data Privacy…
PSW Group: DDoS-Gegenmaßnahmen
DDoS-Attacken erkennen und abwehren