Die neue ISO IEC 27001 und 27002

Die neue ISO/IEC 27001 und 27002 – Was ist jetzt zu beachten?

In der Informationssicherheit haben die Standards ISO/IEC 27001 und ISO/IEC 27002 einen hohen Stellenwert. Sie definieren Anforderungen und konkrete Maßnahmen für die Informationssicherheit und Cybersecurity in Unternehmen. Nun wurden die Normen überarbeitet und an aktuelle Fragestellungen und Herausforderungen angepasst. Was bedeutet das für Unternehmen?



Was ist die Normenreihe ISO/IEC 27001 und 27002?

Die Security-Standards ISO/IEC 27001 und 27002 wurden 2013 ins Leben gerufen. Die ISO/IEC 27001 definiert allgemeine Sicherheitsmaßnahmen und die ISO/IEC 27002 ist der darauf aufbauende Leitfaden mit konkreten Maßnahmen und Anforderungen für die Umsetzung von Informationssicherheit und Cybersecurity. Der Maßnahmenkatalog bildet den Anhang A der ISO/IEC 27001.

Anfang 2022 wurde der Standard aktualisiert und enthält nun neben kleineren Änderungen und Streichungen eine umfassende Neustrukturierung des Maßnahmen-Leitfadens. Insbesondere der Anhang A der ISO/IEC 27001 ist davon betroffen.



Warum wird der Standard angepasst?

Bei der Neuerung handelt es sich um eine Anpassung an aktuelle Anforderungen und den Stand der Technik. Die Herausforderungen und aktuellen Fragestellungen in der Informationssicherheit ändern sich ständig. Um auf aktuelle Gegebenheiten zu reagieren, müssen die Standards entsprechend angepasst werden. Die ISO/IEC 27001 wurde 2017 schon einmal aktualisiert, die Änderungen aus dem ersten Quartal 2022 sind jedoch wesentlich umfassender.

Bereits die Namensänderung des aktualisierten Standards ist richtungsweisend: Aus „Informationstechnologie - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitskontrollen“ wurde „Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Informationssicherheitsmaßnahmen“. So wurden zum Beispiel Anpassungen vorgenommen in Bezug auf den Schutz personenbezogener Daten. Ebenso wurde der aktive Schutz vor Cyberbedrohungen mehr in den Fokus gerückt.

Die Anforderungen an die IT-Sicherheit in Unternehmen sind in den letzten Jahren deutlich gestiegen, deshalb enthält der überarbeitete Standard nicht nur neue Maßnahmen nach dem aktuellen Stand der Technik, sondern auch eine grundlegende Neustrukturierung des Leitfadens zu den Maßnahmen.



Aktualisierung und Verbesserung der Struktur

Die wichtigste Neuerung besteht in einer Neustrukturierung des Leitfadens. In der Version von 2013 enthielt der Anhang A 114 Maßnahmen in 14 Bereichen. Die neue Version von 2022 gliedert nun 93 Maßnahmen in folgende vier Bereiche:

  1. Organizational (37 Maßnahmen)
  2. Technological (34 Maßnahmen)
  3. Physical (14 Maßnahmen)
  4. People (8 Maßnahmen)

Im Fokus der Maßnahmenbeschreibung steht jetzt der Zweck der Maßnahmen und es werden beispielsweise konkrete Ziele definiert. Hinzu kommen für jede Maßnahme fünf Attribute, die präzise die Wirkweise der Maßnahmen beschreiben und außerdem eine alternative Sortierung der Maßnahmen ermöglichen. Dadurch entsteht eine größere Flexibilität.

Die fünf Attribute und ihre zugewiesenen Werte sind:

  1. Control Type (Wirkungsweise der Maßnahme): Vorbeugend, aufdeckend, korrigierend.
  2. Information Security Property (Auswirkung auf Sicherheitsziele): Vertraulichkeit, Integrität, Verfügbarkeit.
  3. Cybersecurity Concepts (Einordnung in Frameworks für Cybersecurity): Identifizieren, Schützen, Erkennen, Reagieren, Wiederherstellen.
  4. Operational Capabilities (Operative Fähigkeiten): Maßnahmen aus der Sicht von Praktikern, z.B. Informationsschutz, Personalsicherheit, physische Sicherheit, System- und Netzwerksicherheit, sichere Konfiguration, Identitäts- und Zugriffsmanagement usw.
  5. Security Domains (Sicherheitsdomänen): Governance, Ökosystem, Schutz, Verteidigung, Resilienz.



Ergänzung um 11 neue Maßnahmen

Der Leitfaden enthält neben der Neustrukturierung außerdem 11 neue Maßnahmen. Die neuen Maßnahmen sind eine Weiterentwicklung der bestehenden Norm und bieten vor allem Ansätze, um Netzwerke besser zu schützen. Sie betreffen verschiedene Themengebiete:

  1. Threat Intelligence: Sammlung und Analyse von Bedrohungsinformationen, um Schutzmaßnahmen zu bestimmen.
  2. Cloud Services: Sichere Prozesse für Onboarding, Nutzung, Verwaltung und Ausstieg bei Cloud Anbietern.
  3. Business Continuity: Anforderungen an Wiederherstellungsmaßnahmen mit einem neuen Fokus auf technische Maßnahmen.
  4. Physical Security Monitoring: Überwachungsmaßnahmen, Einbruchsalarme etc. zur Abschreckung und zum Schutz vor unbefugtem Zugriff.
  5. Data Masking: Beschränkung, Anonymisierung und Pseudonymisierung von Daten.
  6. Data Leakage Prevention: Überwachung und Erkennung von Datenverlust.
  7. Monitoring: Proaktive Überwachung von abweichenden Aktivitäten.
  8. Web Filtering: Filterung von gefährlichen Webseiten, die Malware verbreiten oder unbefugt Daten auslesen.
  9. Secure Coding: Sichere Kodierung ohne Schwachstellen oder Anfälligkeit für Angriffe.
  10. Configuration Management: Korrekte Einstellung von Sicherheitsmaßnahmen und Sicherung der Konfiguration.
  11. Information Deletion: Anforderungen zur Datenspeicherung im Hinblick auf DSGVO und GDPR.



Konkrete praktische Folgen der Neuerungen

Aus den Änderungen ergeben sich notwendige Anpassungen von bestehenden Informationssicherheit-Managementsystemen (ISMS). Wer bereits ein zertifiziertes ISMS hat, muss auf die Änderungen reagieren und hat nun etwa zwei Jahre Zeit, um Neuerungen entsprechend umzusetzen.

Für Verantwortliche der Informationssicherheit bietet die isits AG hierfür das Seminar „Update zur ISO/IEC 27001 und ISO/IEC 27002“ an. In diesem Seminar informieren wir Sie umfassend süber die Änderungen und deren Folgen, damit Sie einschätzen können, welche Auswirkungen die Änderungen auf die Sicherheitsmaßnahmen in Ihrem Unternehmen haben. So erhalten Sie eine Entscheidungsgrundlage für mögliche notwendige Anpassungen des eigenen ISMS zur Vorbereitung auf das nächste Audit.

Hier können Sie sich zu dem Seminar informieren und sich anmelden: Zur Update Schulung.




geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security