ISO 27002: Informations­sicherheit in neuem Gewand

ISO 27002: Informations­sicherheit in neuem Gewand

27. Februar 2021 - Am 28. Januar 2021 war es endlich soweit. Nach acht Jahren ist der Nachfolger der ISO 27002:2013 als Draft veröffentlicht worden. Noch läuft die 12-wöchige Eingabefrist für Kommentare, danach wird diese verbindlich. Unternehmen haben nach der finalen Veröffentlichung eine Übergangsfrist, um ihr ISMS auf den aktuellen Stand zu bringen. Wichtig also, sich bereits jetzt mit dieser Norm auseinander zu setzen.
Artikel erschienen in IT Magazine 2021/03
Bereits länger wurde diskutiert, wann der Nachfolger der in die Jahre gekommenen ISO 27002 «Information technology — Security techniques — Code of practice for information» endlich veröffentlicht wird. Normalerweise haben ISO-Normen einen Lebenszyklus von ca. fünf Jahren, hier sind es bereits acht Jahre. Doch das Warten hat sich gelohnt. Die neue Ausgabe macht einen aufgeräumten und umfassenden Eindruck. Dies beginnt bereits im Titel, dieser lautet neu «Information security, cybersecurity and privacy protection — Information security controls». Es ist ersichtlich, dass die Informationssicherheit in einem globalen Kontext angeschaut wird und alle Elemente berücksichtigen möchte (Cybersecurity) und dass auch hier der Datenschutz einen grösseren Stellenwert bekommt (Privacy Protection).

Struktur

Am Auffälligsten ist sicherlich, dass die Norm eine neue Struktur bekommen hat. Während in der alten Norm 14 Kapitel enthalten sind, sind es nun nur noch deren vier. Es handelt sich um die Themenblöcke 5 Organizational controls (37), 6 People controls (8), 7 Physical controls (14) und 8 Technological controls (34). In Klammern sind die Anzahl Massnahmen aufgeführt. Wer die Norm kennt, hat sicherlich bemerkt, dass es nun «nur» noch 93 Punkte sind, gegenüber den 114 bisherigen. Weiter ersichtlich ist, dass 11 neue Massnahmen dazu gekommen sind. Wer jetzt denkt, dass es hier tatsächlich zu einer Reduktion gekommen ist, irrt sich. Gestrichen wurde genau eine einzige Massnahme. Es handelt sich um die 11.2.5 (Removal of assets). Alle anderen Massnahmen wurden sinnvoll gruppiert. Damit erhöht sich der Aufwand zur Umsetzung für ein Unternehmen. Es wird auch schwieriger, entsprechende Massnahmen auszuklammern, wenn diese im eigenen Unternehmen nicht passen. Dies könnte beispielsweise der Fall sein, wenn ein Unternehmen keine Software entwickelt. Auch die klassischen Punkte «Ladebereiche» oder «Export von Kryptografie» sind in andere Massnahmen integriert worden und können damit nicht mehr ausgeschlossen werden.

Normalerweise werden alle Begrifflichkeiten an einer zentralen Stelle in der ISO 27000 erläutert, damit diese in allen weiteren 27000er-Normen einheitlich verwendet werden. Die 2021er-Ausgabe führt 37 «neue Begriffe» ein. Teilweise werden diese aus anderen Normen angepasst übernommen (unter anderem aus ISO 9000, 15489, 22301, 27301, 27035, 27050, 29100, 29134, 30000, 31000). Zum ersten Mal werden auch diverse Abkürzungen aufgezeigt, insgesamt sind es deren 33.
Wie bereits erwähnt, sind nur noch vier Kapitel vorhanden. Folgende Definition wurde dabei getroffen:

- Kategorie «Menschen», wenn sie einzelne (oder mehrere) Menschen betreffen;
- Kategorie «Physisch», wenn sie physische Objekte betreffen;
- Kategorie «Technologie», wenn sie die Technik betreffen;
- ansonsten werden sie als «organisatorisch» eingestuft
 
Seite 1 von 4

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
Antwort
Name
E-Mail
SPONSOREN & PARTNER