ISO 27701 - und es hört einfach nicht auf

ISO 27701 - und es hört einfach nicht auf

5. September 2020 -
Artikel erschienen in IT Magazine 2020/09
Autor: Von Peter R. Bitterli, CISA, CISM, CGEIT, CRISC (Quelle: ISACA)
Leicht belustigt aber auch angewidert lese ich den obigen Beitrag von Andreas Wisler – schon wieder eine neue ISO 27xxx-Norm. «Zuerst 1, dann 2, dann 3, dann 4 …» – unterdessen sind wir bei wohl 99 verschiedenen ISO27xxx-Normen angekommen.

Wie die von mir schon vor Jahren erstellte Grafik aufzeigt, begann die Erfolgsgeschichte von ISO27xxx mit den Shell Best Practices, aus denen mit Hilfe des Standford Research Institut die Shell Baseline Security Controls entstanden. Die genaue Geburtsstunde konnte ich nicht mehr rekonstruieren, doch habe ich in meiner Sammlung diese und alle weiteren, in der nachfolgenden Übersichtsgrafik erstellten Anleitungen, Standards und Normen. Bereits 1994 konnte ich den «Code of Practice for Information Security Management» des DTI (Department of Trade and Industry) für eines meiner ersten Beratungsprojekte einsetzen und freute mich natürlich sehr, dass daraus nur ein Jahr später der Britische Standard BS7799 entstand: eine Sammlung von damals 70 Informationssicherheits-Massnahmen, der Einhaltung man im Rahmen einer Zertifizierung von unabhängigen Auditoren bestätigen lassen konnte.
Mit BS7799 hatte man eine Sammlung von Kontrollen – es fehlte aber das eigentliche Managementsystem, mit dem man die Kontrollen risikogerecht planen, implementieren und überwachen konnte. Die Norm BS7799-2 lieferte dann das herbeigesehnte PDCA-Managementsystem. Leider wurde es bei den späteren Anpassungen zu ISO17799 resp. ISO27002 versäumt, aus der immer grösser werdenden Sammlung diejenigen Kontrollen zu eliminieren, welche in der Beschreibung des Managementsystems (heute ISO27001) bereits abgedeckt waren. 2006 kam die nächste Erweiterung in Form von BS7799-3 (heute ISO27005 resp. ISO31000): Hier wurde das Informationssicherheits-Risikomanagement detaillierter beschrieben – die entsprechenden Kontrollen wurden aber weder aus BS779-1 (die «Urversion» mit 70 Kontrollen) noch aus der BS7799-2 (dem Managementsystem) wirklich eliminiert.

Ein Weilchen blieb es noch ruhig, dann explodierte das Ganze förmlich: In kurzem Abstand kamen weitere zugehörige Normen heraus: zu Metriken, zum (externen) Zertifizierungsaudit, zu den internen ISMS-Audits, zur Prüfung von Sicherheitskontrollen, für verschiedene Branchen wie Telekom und Finanzdienstleister, für die Kombination mit ISO20000, für Governance der Informationssicherheit, … und dann mit der ISO27018 zum Thema personenbezogener Informationen in der Cloud, … dann Anwendungssicherheit, Incident Management, Business Continuity, und … und … und jetzt noch eine 27701 zum nachweisbaren Datenschutz.
 
Seite 1 von 2

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
SPONSOREN & PARTNER