Seit die neue ISO27002:2022 im März veröffentlicht wurde, haben wir viele Fragen vom Markt erhalten. Wann kommt die neue ISO27001? Müssen wir ein neues ISMS einrichten? Wie wird sich dies auf meine NEN7510-Zertifizierung auswirken? Wann werden wir nach der neuen Norm auditiert? Was ändert sich alles an der Norm? Wird mein Zertifikat nach der alten Version ablaufen? In dem folgenden Artikel beantworten wir diese wichtigen Fragen. Und natürlich wird es eine großzügige Übergangszeit geben, in der Sie Zeit haben, die entsprechenden Anpassungen vorzunehmen.

Standards werden regelmäßig überprüft

Genauso wie Sie die Dokumente Ihres ISMS überprüfen, werden auch die ISO-Normen in regelmäßigen Abständen überprüft. Das ist wichtig, denn sonst werden sie von allen möglichen technologischen Entwicklungen und neuen Erkenntnissen über Geschäftsabläufe überholt. Schließlich muss die Norm zeitgemäß sein und im Falle der ISO 27001helfen Ihnen, Ihre Informationen zu schützen. Dies geschieht in der Regel in einem Fünfjahreszyklus.

Durchführungsrichtlinie zuerst

Am 15. Februar wurde als erstes die Durchführungsrichtlinie verabschiedet. Diese stammte aus dem Jahr 2013. Die neue ist nun als ISO27002:2022 verfügbar. Diese Richtlinie gibt Ihnen eine Anleitung, wie Sie die mit der ISO 27001 verbundenen Kontrollmaßnahmen (Anhang A) umsetzen können. ISO 27002 ist nicht zertifizierbar, aber wir können daraus schon ablesen, was sich in ISO 27001 ändern wird.

Und dann die ISO 27001

Derzeit hat die ISO beschlossen, keine neue Version der Norm zu veröffentlichen, sondern nur Anhang A zu ersetzen. Diese wird als Ergänzung veröffentlicht und den Namen ISO/IEC 27001:2013 /AMD 1:2022 tragen. Für die englischsprachige Version wird dies voraussichtlich im Mai oder Juni 2022 geschehen. Die niederländische Version wird ein paar Monate später erscheinen. Sie wird höchstwahrscheinlich den Namen NEN-EN-ISO/IEC 27001:2017+A12:2022 de

Die Anpassungen

Wo wir jetzt 114 Verwaltungsmaßnahmen gewohnt sind, sind es jetzt nur noch 93 Verwaltungsmaßnahmen. Aber wenn man sich das inhaltlich ansieht, wird man feststellen, dass der Inhalt größtenteils zusammengelegt wurde.

Auch die Anzahl der Kapitel ändert sich. Es wird nur noch vier geben, nämlich:

Kapitel 5 - Organisatorische Kontrollen: Dieses Kapitel enthält alle Managementmaßnahmen, die nicht in die 3 folgenden Kapitel passen (d.h. die sich nicht mit Menschen, physischer Sicherheit oder Technologie befassen).

Kapitel 6 - Menschen: Hier finden Sie alle Managementmaßnahmen, die den Menschen betreffen, wie z. B. Bewusstsein, Arbeitsbedingungen usw.

Kapitel 7 - Physische Kontrollen: Dieses Kapitel enthält alle Maßnahmen, die die physische Sicherheit des Standorts/der Standorte betreffen, aber auch, wie die Wartung der Ausrüstung geregelt wird.

Kapitel 8 - Technologische Kontrollen: Alle technologiebezogenen Verwaltungsmaßnahmen sind in diesem Kapitel zu finden. Zum Beispiel, wie Sie Ihr Netzwerk und Ihre Informationsverarbeitungssysteme sichern, wie Sie mit der Protokollierung umgehen und wie Sie sicherstellen, dass Ihre Entwickler sicher arbeiten.

Was gibt es Neues?

Diese Kapitel enthalten zum großen Teil die Maßnahmen, die Sie bereits kennen. Einige wurden zusammengelegt, sind aber inhaltlich gleich geblieben.

Darüber hinaus wurden 11 neue Maßnahmen hinzugefügt:

5.7 Thread-Intelligenz: Die Art und Weise, wie Informationen über neue und bestehende Bedrohungen gesammelt werden und wie auf sie reagiert wird.

5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten: Diese Verwaltungsmaßnahme beschreibt die Art und Weise, wie Sie Ihre Informationen in den von Ihnen genutzten Cloud-Diensten im Hinblick auf deren Nutzung, Verwaltung und auch beim Verlassen dieses Dienstes gesichert haben.

5.30 IKT-Bereitschaft für die Geschäftskontinuität: Dazu gehört die Erstellung, Umsetzung und Prüfung eines ICTCP (ICT Continuity Plan). Wie wird die Verfügbarkeit der Informationsverarbeitungssysteme im Falle einer Katastrophe oder einer sehr großen Störung sichergestellt?

7.4 Überwachung der physischen Sicherheit: Wie sind die Geschäftsräume gegen den unbefugten Zutritt Dritter gesichert? Hier liegt der Schwerpunkt auf Gebäuden mit kritischen Systemen wie Serverräumen, wichtigen Versorgungseinrichtungen, Verwaltung, etc....

8.9 Konfigurationsmanagement: Diese Verwaltungsmaßnahme befasst sich mit der Implementierung und Aufrechterhaltung einer ordnungsgemäßen Konfiguration von Hardware und Software in Verbindung mit der allgemeinen Sicherheitspolitik.

8.10 Löschung von Informationen: Bei der Umsetzung dieser Verwaltungsmaßnahme ist darauf zu achten, dass die Informationen nicht länger als nötig aufbewahrt werden. Damit sollen unnötige Risiken für relevante Informationen vermieden werden.

8.11 Datenmaskierung: Dies sollte umgesetzt werden, um eine unnötige Offenlegung sensibler Daten zu vermeiden. Ziehen Sie Verschlüsselung, Löschung, Datenersetzung usw. in Betracht.

8.12 Verhinderung von Datenverlusten: Diese Managementmaßnahme beschreibt die Verhinderung von Datenlecks durch undichte Kanäle. Denken Sie an E-Mail, Dateitransfer, Links usw...

8.16 Überwachungstätigkeiten: Dabei handelt es sich um Maßnahmen zur Aufdeckung abweichenden Verhaltens. Die Art und Weise und der Umfang sollten von der Organisation im Voraus festgelegt werden.

8.23 Web-Filterung: Bei dieser Verwaltungsmaßnahme geht es um die Filterung des Internetverkehrs der Mitarbeiter. Denken Sie hier zum Beispiel an die Sperrung unerwünschter Websites.

8.28 Sichere Kodierung: Es sollte ein Verfahren für die sichere Softwareentwicklung eingeführt werden. Dieser Prozess sollte auf seine Einhaltung überwacht werden.

Was bedeutet das für Sie und Ihr Verwaltungssystem?

Um den Übergang zum neuen Anhang A für die Organisationen handhabbar zu machen, wird es eine Übergangszeit geben. Während dieser Übergangszeit werden beide Versionen gültig und zertifizierbar sein. Das heißt, wenn Sie schnell auf die neuen Kontrollmaßnahmen umsteigen wollen, können Sie das natürlich tun, aber Sie können auch beruhigt sein, dass Ihr nächstes (Kontroll-)Audit noch nach der alten Version durchgeführt werden kann. In der Zwischenzeit haben Sie dann die nötige Ruhe, um Ihre Organisation und Ihre Prozesse an die neuen Kontrollmaßnahmen anzupassen. Wie lange diese Übergangszeit sein wird, ist noch nicht bekannt, aber in der Regel sind es mehrere Jahre.

Was ist mit dem NEN 7510 oder dem BIO?

Organisationen, die nach der NEN 7510 oder BIO geprüft werden, fragen sich natürlich, was mit ihnen geschehen wird. Sowohl NEN 7510 als auch BIO bestehen aus zusätzlichen Kontrollmaßnahmen, die dem Anhang A der ISO 27001 hinzugefügt wurden. Wenn also die grundlegenden Kontrollmaßnahmen geändert werden, müssen auch die NEN 7510 und BIO angepasst werden. Es wird erwartet, dass die Veröffentlichung einer neuen NEN 7510 und BIO weitere 2 Jahre in Anspruch nehmen könnte.

Für Organisationen, die auch über eine NEN7510-Zertifizierung verfügen und/oder die BIO-Anforderungen erfüllen müssen, ist es daher auch am logischsten, mit dem Übergang zu den neuen Kontrollmaßnahmen zu warten, bis die NEN 7510 oder die BIO ebenfalls geändert worden sind. Denn andernfalls werden die Kontrollmaßnahmen des alten Anhangs A und des neuen Anhangs A in Ihrem Managementsystem durcheinander gebracht. Denken Sie an Ihre Risikoanalyse und die Kohärenz mit Anhang A und Ihrer VVT, 2 Versionen nebeneinander und durcheinander. Das kann man natürlich machen, aber das macht es nicht einfach, so dass es intern noch jeder versteht.

Schlussfolgerung

Es stehen also einige aufregende Änderungen bevor, die sich wieder an den aktuellen Bedrohungen, dem Wissen und der Technologie orientieren werden. Aber es gibt keinen Grund zur Sorge, denn es ist noch genügend Zeit, um Ihre Organisation auf diese neue Version der Norm vorzubereiten.