Direkt zum Inhalt

ISO/IEC 27001 - Informationssicherheit

Informationssicherheit ist heute (über-)lebensnotwendig für Organisationen aller Art. Vertraulichkeit, Integrität und Verfügbarkeit von Information werden zum strategischen Erfolgsfaktor, wenn es um das Vertrauen der Kunden, Geschäftspartner und der Öffentlichkeit geht.

ISO/IEC 27001 - Informationssicherheit

Informationssicherheit ist heute (über-)lebensnotwendig für Organisationen aller Art. Vertraulichkeit, Integrität und Verfügbarkeit von Information werden zum strategischen Erfolgsfaktor, wenn es um das Vertrauen der Kunden, Geschäftspartner und der Öffentlichkeit geht.

Zusammenfassung

ISO/IEC 27001 ist der weltweit angewendete Standard für die Zertifizierung eines Informationssicherheitsmanagementsystems. Dieses hat zum Ziel, die Informationen basierend auf einer Analyse der Geschäftsrisiken bezüglich Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.

Ende Oktober 2022 erschien die Version ISO/IEC 27001:2022. Es wurden keine grossen Änderungen vorgenommen. Weil nicht mehr als zwei Änderungen ( AMD - Amendment) bei einer Norm vorkommen sollen, wird nun eine Version 2022 publiziert.

Die Änderungen findet man primär im Anhang A - Massnahmenziele und Massnahmen, sie ergeben sich aus der neu publizierten ISO/IEC 27002:2022.

ISO/IEC 27001 ist gleich strukturiert wie die ISO 9001:2015, beinhaltet aber nicht die Geschäftsprozesse, sondern die Massnahmen zur Sicherstellung der Informationssicherheit. Ein ISO 9001:2015 kompatibles Managementsystem ist zwar nicht Voraussetzung, aber die ideale Basis. Fehlt es, müssen noch die Prozesse beschrieben werden, in die die Massnahmen eingebettet werden.

Entwicklung

Geschichte

Der Vorgänger der ISO/IEC 27001:2013 ist ISO/IEC 27001:2005, die fast unverändert von dem britischen Standard BS 7799-2 übernommen wurde. Bereits 1993 hat das Department of Trade and Industry (DTI) in UK eine Sammlung von Best Practices in der Informationssicherheit  - den Code of Practice - herausgegeben, der 1995 zum British Standard BS 7799-1 wurde. Er gewann im angelsächsischen Raum sehr schnell an Popularität und der Wunsch nach der Möglichkeit einer Zertifizierung wuchs. Um dem zu entsprechen wurde mit dem BS 7799-2 ein Anforderungskatalog erstellt, nach dem sich eine Organisation zertifizieren lassen konnte. Zwar erfuhren beide Standards international eine sehr hohe Anerkennung, doch blieben sie mehrheitlich Insidern vorbehalten, bis im Jahre 2000 zunächst der BS 7799-1 zur ISO 17799 wurde und 5 Jahre später der BS 7799-2 zur ISO/IEC 27001. Es war geplant, eine ganze Normenfamilie zur Informationssicherheit aufzubauen. Zunächst wurde 2007 die ISO 17799 in ISO/IEC 27002 umbenannt.

Weitere Normen sind bereits veröffentlicht oder werden folgen:

  • ISO/IEC 27002 IT-Sicherheitsverfahren
  • ISO/IEC 27003 Leitfaden zur Implementierung
  • ISO/IEC 27004 Information Security Management Metrics and Measurements (zur Zeit in der Entwicklung)
  • ISO/IEC 27005  ISMS Risikomanagement
  • ISO/IEC 27006 Anforderungen an  Zertifizierungsstellen
  • ISO/IEC 27011 Guidelines for telecommunications organizations
  • ISO/IEC 27017 Verfahren für Cloud Services
  • ISO/IEC 27018 Persönlichkeitsschutz in öffentlichen Clouds
  • ISO/IEC 27701 Datenschutz
  • ISO/IEC 27799 Guidelines for health informatics

und viele weitere Leitfäden (Guidelines) für branchenspezifische Anwendung und spezifische Themen eines Informationssicherheits-Managementsystems (ISMS).Eine Liste der Normen finden Sie auf den Seiten der ISO.

Neue Version ISO/IEC 27001:2022

Die neue Version wurde Ende Oktober 2022 publiziert.

Was hat geändert?

Primär wurde der Anhang A ersetzt, er entspricht der ISO/IEC 27002:2022.

Lediglich zwei redaktionelle Änderungen in 6.1.3 c) und 6.1.3 d) zur Verdeutlichung.

Übergangsregeln:

Die Übergangszeit beträgt 3 Jahre und endet am 31.10.2025.

Wann kann man die Zertifizierung auf die neue Norm wechseln?

  • anlässlich der nächsten Rezertifizierung (ab 30.04.2024 nur noch nach Version 2022)
    (es werden min. 0,5 Tage zusätzliche Zeit benötigt, muss bis am 31.10.2025 abgeschlossen sein)
  • anlässlich eines Überwachungsaudits
    (es wird min. 1,0 Tag zusätzliche Zeit benötigt)
  • zwischen zwei Audits (es wird min. 1,0 Tag zusätzliche Zeit benötigt)

 

Neue Version ISO/IEC 27002:2022 (entspricht Anhang A in ISO/IEC 27001)

Die neue Version wurde im Februar 2022 publiziert.

Was hat geändert?

Die Struktur wurde grundlegend geändert:

bisher 14 Kapitel - neu 4 Kapitel:

  • Organizational controls (37)
  • People controls (8)
  • Physical controls (14)
  • Technological controls (34)

In Klammern ist die Anzahl der Massnahmen (Controls) angegeben. Es sind nun 93 Massnahmen festgelegt, bisher waren es 11 mehr (114). Das heisst aber nicht, dass die Anzahl der Themen abgenommen hat. Es sind thematisch 11 neue Massnahmen dazugekommen und 3 wurden entfernt ((11.2.5 Removal of assets, 8.2.3 Handling of Assets, 16.1.3 Reporting information security weaknesses).

Verschiedene Controls wurden in 19 neu formulierten konsolidiert, 61 bleiben unverändert. 

Die neuen Controls sind:

  1. Threat intelligence: 
    Die Organisation muss sich aktiv darum kümmern, Angreifer und ihre Methoden vor dem Hintergrund Ihrer IT-Landschaft zu verstehen.
  2. Information security for use of cloud services: 
    Cloud-Initiativen müssen ganzheitlich von der Einführung über den Betrieb bis hin zur Exit-Strategie betrachtet werden.
  3. ICT Readiness for Business Continuity: 
    Die Anforderungen an die IT-Landschaft müssen aus den Anforderungen an die Business Contnuity abgeleitet werden.
  4. Physical security monitoring: 
    Die Vermeidung unautorisierter physischer Zutritte rückt stärker in den Fokus und soll mittels Alarmierungs- und Überwachungssystemen verhindert bzw. rasch entdeckt  werden.
  5. Configuration management: 
    Die sichere Konfiguration von IT-Systemen und die Härtung gewinnen an Bedeutung.
  6. Information deletion: 
    Das sichere Löschen und insbesondere die Wahrung externer Anforderungen, beispielsweise Löschkonzepte im Zusammenhang mit Datenschutz, müssen umgesetzt werden.
  7. Data masking: 
    Mittels verschiedener Maskierungstechniken wie Anonymisierung und Pseudonymisierung soll der Schutz von Daten erhöht werden.
  8. Data leakage prevention: 
    Data Leakage Prevention (DLP) erhält neu Beachtung und soll helfen, den unautorisierten Datenabfluss zu vermeiden.
  9. Monitoring activities: 
    Netzwerk- und Anwendungsverhalten sollen überwacht werden, um Anomalien zu entdecken.
  10. Web filtering: 
    Der Zugriff auf externe Websites, die Schad-Codes enthalten können, ist mittels Webfilter-Methoden zu verhindern.
  11. Secure coding: 
    Die sichere Programmieren, die Nutzung von Tools, die Überwachung genutzter Bibliotheken und Repositorien, das Kommentieren und Nachvollziehen von Änderungen und das Vermeiden unsicherer Programmiermethoden.

Neu enthalten alle Controls Attribute:

  • Control type:
    Preventive, Detective, and Corrective
  • Information security properties:
    Confidentiality, Integrity, and Availability
  • Cybersecurity concepts:
    Identify, Protect, Detect, Respond, and Recover
  • Operational capabilities:
    Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management, and Information security assurance
  • Security domains:
    Governance and ecosystem, Protection, Defense, and Resilience

 

Nutzen

Organisationen, die ISO/IEC 27001 erfolgreich eingeführt haben, profitieren von:

  • Optimaler Mitteleinsatz zum Schutz der Informationen
  • Geschäftsrisiken und Schutzbedarf sind identifiziert
  • Reduzierung des Haftungsrisikos für GL und VR
  • Beherrschung der Top-Risiken
  • Garantierte Verfügbarkeit und Integrität der Informationen
  • Vertrauensbildung bei Kunden und Geschäftspartner
  • Nachhaltiger Schutz des Unternehmenswertes ‚Information’
  • Sicherheitsbewusstsein bei allen Mitarbeitenden

Was Sie wissen müssen

Anforderungen

Die Anforderungen an ein Informationssicherheitsmanagementsystem sind in der ISO/IEC 27001 dargelegt. Nur danach kann zertifiziert werden. Alle anderen Standards dieser Normenfamilie (ausser ISO/IEC 27006) sind Leitfäden und nicht zertifizierbar.

Die ISO/IEC 27006 ist nur für die Zertifizierstellen relevant. Sie definiert die Anforderungen an die Auditoren, Zertifizierungsabläufe und auch die Berechnung der aufzuwendenden Auditzeit.

Hilfsmittel

Die erwähnten Guidelines geben eine Hilfestellung bei der Definition von wirksamen Massnahmen zur Sicherstellung der Informationssicherheit oder zu speziellen Themen wie z. B. das Risk Assessment. Die branchenspezifischen Leitfäden stützen sich dabei immer auf die sehr gute generische Sammlung von Best Practices der ISO/IEC 27002 ab. Es sind inzwischen weitere Leitfäden für andere Branchen erarbeitet worden und weitere werden folgen.

Erwähnenswert ist hier auch noch die ISO/IEC 22301 - Business Continuity Management, ein wichtiger Aspekt der Informationssicherheit.

Viele weitere Publikationen zum Thema lassen sich auf dem Internet finden: Gefährdungskataloge, Checklisten, Risk Assessment Methoden, … . In der Schweiz veröffentlicht das Bundesamt für Cybersicherheit viele Informationen und Hilfsmittel. Weitere links finden sich im Kapitel Wissenswertes.

Wissenswertes

Interessante Links zum Thema: 

Checkliste

Zur Vorbereitung auf die Zertifizierung und als Unterstützung für interne Audits stellen wir unsere Checklisten im Swiss Safety Center Shop gratis zur Verfügung.

Ablauf und FAQ

Sie möchten dazu mehr erfahren?