Den Überblick behalten ist schwierig
Den Überblick behalten ist schwierig
4. März 2023 -
Eine schier unglaubliche Vielfalt an Normen und Standards
Artikel erschienen in IT Magazine 2023/03
Wenn ich den obigen Artikel von Andreas Wisler zur Aktualisierung von ISO27001/2 lese, werde ich ganz nostalgisch: Ich mag mich noch gut erinnern an den damals visionären DTI Code of Practice for Information Security Management, der anfangs der 90er erstmals veröffentlicht und dann 1995 fast wortwörtlich in den British Standard BS7799 umgewandelt wurde. Damals war die Welt der Informationssicherheits-Standards noch einfach: In meiner Erinnerung gab es BS7799 und sonst nichts. Daraus wurden dann mit der Zeit eine Serie mit immer mehr Standards – unterdessen sind es wohl rund 40, wobei sich teils mehrere zum selben Thema äussern.
Die Bedürfnisse beschränken sich aber nicht nur auf eine angemessene Informations-/IT-Sicherheit: Relativ früh gab es Bestrebungen, Risiken im Bereich der Rechnungsabschlüsse durch den Einsatz entsprechender Gesetze, Standards und Normen zu reduzieren (z.B. Sarbanes-Oxley Act, SOC1 und SOC2, Basel II/III, Gramm-Leach Bliley Act). Aktuell erscheint gefühlt fast im Sekundentakt irgendein neuer Cyber- und andere Sicherheitsstandard: NIST CSF, CIS, NY CRR 500, usw. um nur einige zu nennen – viele davon mit einem vorgegebenen Set an je vielleicht 100 oder auch mehr Kontrollen (im Kasten sind ein paar der in der Schweiz bekannteren dieser Standards aufgeführt).
Ein einzelnes Unternehmen hat meist die Möglichkeit, sich auf einen dieser Standards zu fokussieren. Von einem Provider wird aber erwartet, dass er sämtliche Kontrollen/Sicherheitsmassnahmen aus allen passenden Standards implementiert hat und dies auch bestätigen kann. Entsprechend schmücken viele Provider ihre Webseite mit einer Sammlung von Zertifikaten und/oder Attestierungen.
Die Bedürfnisse beschränken sich aber nicht nur auf eine angemessene Informations-/IT-Sicherheit: Relativ früh gab es Bestrebungen, Risiken im Bereich der Rechnungsabschlüsse durch den Einsatz entsprechender Gesetze, Standards und Normen zu reduzieren (z.B. Sarbanes-Oxley Act, SOC1 und SOC2, Basel II/III, Gramm-Leach Bliley Act). Aktuell erscheint gefühlt fast im Sekundentakt irgendein neuer Cyber- und andere Sicherheitsstandard: NIST CSF, CIS, NY CRR 500, usw. um nur einige zu nennen – viele davon mit einem vorgegebenen Set an je vielleicht 100 oder auch mehr Kontrollen (im Kasten sind ein paar der in der Schweiz bekannteren dieser Standards aufgeführt).
Ein einzelnes Unternehmen hat meist die Möglichkeit, sich auf einen dieser Standards zu fokussieren. Von einem Provider wird aber erwartet, dass er sämtliche Kontrollen/Sicherheitsmassnahmen aus allen passenden Standards implementiert hat und dies auch bestätigen kann. Entsprechend schmücken viele Provider ihre Webseite mit einer Sammlung von Zertifikaten und/oder Attestierungen.
Wenn man das Ganze etwas genauer betrachtet, merkt man rasch, dass es zwischen den verschiedenen Standards zu einem bestimmten Thema wie z.B. Cyber Security nicht allzu grosse Unterschiede gibt. Das ist nicht wirklich erstaunlich, weil alle themenspezifischen Standards mehr oder weniger dieselben Risiken abdecken und damit in der Regel auch sehr ähnliche Sicherheitsmassnahmen (Kontrollen) aufführen. Als Unternehmen sollte man sich daher wohl auf den einen (z.B.) Cyber Security-Standard fokussieren, der für die meisten Stakeholder passend ist.
Bohrt man bezüglich Standard-Vielfalt noch etwas tiefer, stellt man fest, dass auch viele Standards aus höchst unterschiedlichen Fachbereichen sehr ähnliche Kontrollen aufweisen. Zum «Change Management» findet sich z.B. im Service Management-Standard ITIL eine Kontrolle, aber auch bei ISO27001, BSI 200, NIST 800 oder «sogar» im Schweizer Revisionshandbuch. Fast identische Kontrollen in unterschiedlichsten Standards lassen sich für enorm viele Themen finden (z.B. Incident Management, Business Continuity Management, Schutz der Privatsphäre, …).
Bohrt man bezüglich Standard-Vielfalt noch etwas tiefer, stellt man fest, dass auch viele Standards aus höchst unterschiedlichen Fachbereichen sehr ähnliche Kontrollen aufweisen. Zum «Change Management» findet sich z.B. im Service Management-Standard ITIL eine Kontrolle, aber auch bei ISO27001, BSI 200, NIST 800 oder «sogar» im Schweizer Revisionshandbuch. Fast identische Kontrollen in unterschiedlichsten Standards lassen sich für enorm viele Themen finden (z.B. Incident Management, Business Continuity Management, Schutz der Privatsphäre, …).