ISO 27001:2013 - Alter Wein in neuen Schläuchen?

Deckblatt

Die Internationale Organisation für Standardisierung (ISO) und die Internationale Electrontechnical Commission (IEC) hat den Standard "Information technology - Security techniques - Information security management systems - Requirements", bekannt auch als ISO 27001 Standard überarbeitet und im Oktober 2013 in der finalen Version ISO 27001:2013, als Mitglied der ISO 2700x-Famile veröffentlicht, durch welche die Vorgängerversion ISO 27001:2005 abgelöst wird.

Die Frage die sich stellt ist, ob es sich hierbei um "Alten Wein in neuen Schläuchen" handelt oder ob sich tatsächlich Veränderungen ergeben haben.

In diesem Beitrag werden Ihnen die Veränderungen and em Standard, die mit der Überarbeitung des Standards ISO/ICE 27001:2005 einhergegangen sind stichpunktartig aufgezeigt bzw. anhand von Grafiken und Tabellen entsprechend visualisiert.

Was bedeutet es, einen überarbeiteten Standard ISO/ICE 27001 vorliegen zu haben und was verändert sich daduch für mein Unternehmen?

  • Der neue Standard ISO/IEC 27001:2013 gilt seit 1. Oktober 2013 als veröffentlicht und damit als verbindlich anzuwenden. D.h. der neue Standard ersetzt ab 01. Oktober 2013 den Standard ISO/IEC 27001:2005.
  • Bisherige Zertifizierungen behalten bis zum ihrem Ablauf ihre Gültigkeit.
  • Zertifizierungsverfahren die sich derzeit noch in der Umsetzung befinden können nach dem zugrunde liegenden ISO/IEC 27001:2005 Standard abgeschlossen werden - so die Kontrollen in den nächsten 12 Monaten abgeschlossen werden.
  • Nach dem Erscheinen des überarbeiteten ISO/IEC 27001:2013 Standards aufzunehmende Zertifizierungsverfahren sind nach dem neuen Standard umzusetzen.
  •  Mitangepasste Standards sind u.a. ISO/IEC 27000  (- overview and vocabulary) , ISO/IEC 27002 (- code of Practice for information security controls) , ISO/IEC 27003 (- implentation guidance) und ISO 31000 (Risk Management). Die hier gemachten Anpassungen sind entsprechend zu berücksichtigen.
  • Eine offizielle Fassung der ISO 27001:2013 in deutscher Sprache ist für den April 2014 durch das ISO Komitee vorgesehen.

 

Was sind, zusammengefasst, die wesentlichen Veränderungen gegenüber dem Standard ISO/IEC 27001:2005?

Gemäß einer sogenannten “high level structure”, welche bei der Entwicklung neuer bzw. zur Überarbeitung bestehender Normen durch das ISO Komitee Anwendung findet, wurde der Standard ISO/IEC 27001:2005 grundlegend überarbeitet, dabei wurde(n)

  • Definitionen überarbeitet, ergänzt oder aufgehoben bzw. in andere Standards verschoben,
  • neue Klausel wie z.B. „Leadership“ geschaffen, welche die überarbeiteten und ergänzten Anforderungen an das Management beinhalten,
  • durch die Anpassungen der Kontrollen die Definitionen klarer formuliert. Anforderungen an die SOA (Statement of Applicability) sind unverändert geblieben,
  • nicht mehr auf die Kontrollen fokussiert sondern auf die Adressierung von Risiken in Bezug auf die zu unterstützenden Management Prozesse (u.a. wurde der Begriff des „Risk Owner“ geschaffen) 
  • Anforderungen in Bezug auf eine Risikobewertung in die ISO 31000 überführt,
  • Zielfestlegung, Leistungs- und Werteüberwachung deutlicher in den Fokus der Bewertung gerückt.

 

Veränderungen in Bezug auf die Begrifflichkeiten

Die nachfolgenden Begrifflichkeiten wurden im Rahmen der Überarbeitung des 2005 Standards angepasst bzw. hinzugefügt (da die aktuelle Fassung der IOS/IEC 27001:2013 derzeit nur in Englisch verfügbar ist, haben wir keine Übersetzung vorgenommen [1]:

 

New/updated concept

Explanation

Context of the organization

The environment in which the organization operates

Issues, risks and opportunities

Replaces preventive action

Interested parities

Replaces stakeholders

Leadership

Requirements specific to top management

Communication

There are explicit requirements for both internal and external communications

Information security objectives

Information security objectives are now to be set at relevant functions and levels

Risk assessment

Identification of assets, threats and vulnerabilities is no longer a prerequisite for the identification of information security risks

Risk owner

Replaces asset

Risk treatment plan

The effectiveness of the risk treatment plan is now regarded as being more important than owner the effectiveness of controls

Controls

Controls are now determined during the process of risk treatment, rather than being selected from Annex A

Documented information

Replaces documents and records

Performance evaluation

Covers the measurement of ISMS and risk treatment plan effectiveness

Continual improvement

Methodologies other than Plan-Do-Check-Act (PDCA) may be use

 

 

Veränderungen in Bezug auf Kapitel, Control Sections, Control Objectives und Controls

 

Neben Begrifflichkeiten und Definitionen haben sich Änderungen in den jeweiligen Kapiteln, in Bezug auf die Anzahl der Kapitel (+25%) insgesamt sowie auch die Anzahl der Control Sections, Control Objectives und Controls, im Anhang (A) zu dem Standard definiert, in Menge und Verteilung verändert.

Waren es bei der ISO 27001:2005 noch 11 Control Sections und 133 Controls, so sind es jetzt in der ISO 27001:2013 14 Control Sections und 114 Controls.

Veränderung Kapitel

 

Erfreulicherweise sind die Control Objectives um rund 10% verringert worden und die einzelnen Controls selber um 20%.

Anzahl Objectives

 

 

Veränderungen in Bezug auf die Kapitel

 

Es ist zu berücksichtigen, dass in den einzelnen Kapiteln der ISO/IEC 27000:2013 Veränderungen vorgenommen wurden, die dazu geführt haben, das Sachverhalte in andere als den bisherigen Kapiteln verlagert wurden bzw. gänzlich aus der ISO/IEC 27001 ausgelagert worden sind, wie z.B. der Inhalt des Kapitels 3 „Terms and definitions". Der Inhalt dieses Kapitels wurde beispielsweise vollkommen in die ISO/IEC 27000:2013 überführt.

Die überarbeitete und derzeit gültige Fassung der ISO 27001 unterteilt sich in die folgenden Hauptkapitel.

 

Hierbei ist zu berücksichtigen, dass, wie bereits erwähnt, sich Überschriften und Inhalte einzelner Kapitel, verglichen mit der ISO / IEC 27001:2005, verschoben haben. Das BSI (Britisch Standard Insitute) hat hierzu eine tabellarische Aufstellung zur Verfügung gestellt [2]:

 

Aus nachfolgenden Kapiteln der ISO/IEC 27001:2005 …

… wurden nachfolgende Kapitel der ISO/IEC 27001:2013

0            Introduction

0            Introduction

1            Scope

1            Scope

2            Normative references

2            Normative references

3            Terms and definitions

3            Terms and definitions

8.3          Preventive action

4.1          Understanding the organization and its context

5.2.1c)    Identify and address legal and regulatory requirements

4.2          Understanding the needs and expectations of interested parties and contractual security obligations

4.2.1 a)   Define scope and boundaries management system

4.2.3 f)    Ensure the scope remains adequate

4.3          Determining the scope of the information security

4.1          General requirements

4.4          Information security management system

5.1          Management commitment

5.1          Leadership and commitment

4.2.1 b)   Define an ISMS policy

5.2          Policy

5.1 c)      Establishing roles and responsibilities for information  security

5.3          Organizational roles, responsibilities and authorities

8.3          Preventive action

6.1.1       Actions to address risks and opportunities - general

4.2.1 c)   Define the risk assessment approach

6.1.2       Information security risk assessment

4.2.1 e)   Analyse and evaluate the risk

4.2.1 d)   Identify the risks

4.2.1 f)    Identify and evaluate options for the treatment of risks

4.2.1 g)   Select control objectives and controls for the treatment of risks

4.2.1 h)   Obtain management approval of the proposed residual risks

4.2.1 j)    Prepare a Statement of Applicability

4.2.2 a)   Formulate a risk treatment plan

6.1.3       Information security risk treatment

5.1 b)      Ensuring that ISMS objectives and plans are established

6.2          Information security objectives and planning to achieve them

4.2.2 g)   Manage resources for the ISMS

5.2.1       Provision of resources

7.1          Resources

5.2.2       Training, awareness and competence

7.2          Competence

4.2.2 e)   Implement training and awareness programmes

5.2.2       Training, awareness and competence

7.3          Awareness

4.2.4 c)   Communicate the actions and improvements

5.1 d)      Communicating to the organization

7.4          Communication

4.3          Documentation requirements

7.5          Documented information

4.2.2 f)    Manage operations of the ISMS

8.1          Operational planning and control

4.2.3 d) Review risk assessments at planned intervals

8.2       Information security risk assessment

4.2.2 b) Implement the risk treatment plan

4.2.2 c) Implement controls

4.2.2 d) Define how to measure effectiveness

8.3       Information security risk treatment

4.2.3 b) Undertake regular reviews of the effectiveness of the ISMS

4.2.3 c) Measure the effectiveness of controls

9.1       Monitoring, measurement, analysis and evaluation

4.2.3 e) Conduct internal ISMS audits

6          Internal ISMS audits

9.2       Internal Audit

4.2.3 f) Undertake a management review of the ISMS

7          Management review of the ISMS

9.3       Management review

4.2.4     Maintain and improve the ISMS

8.2       Corrective action

10.1      Nonconformity and corrective action

4.2.4     Maintain and improve the ISMS

8.1       Continual improvemen

10.2      Continual improvement

 

 

Veränderungen in Bezug auf die Control Sections, Control Objectives und Controls

Die Veränderungen in Bezug auf die Control Sections der nachfolgenden Grafik entnommen werden. Die nunmehr 14 Control Sections beinhalten 35 Control Objectives und insgesamt 114 Controls. In der Grafik sind den einzelnen Control Sections, hier im Uhrzeigersinn von A 5 bis A 18 aufgeführt, die jeweilige Anzahl an Control Objectives und Controls im Einzelnen zugeordnet. Dabei steht die erste Zahl vor dem „/“ für die Anzahl der Control Objectives und die zweite Zahl nach dem „/“ für die Anzahl der Controls.

 

Control Objectives

Darüber hinaus wurden die Controls (Anhang A) teilweise in ihrer Bezeichnung verändert, so dass es sinnvoll erscheint, auch hier eine Mappingtabelle einzusetzen, um die Veränderungen besser identifizieren zu können. Die nun folgende tabellarische Darstellung zeigt die Veränderungen zu den Controls im Anhang A der beiden zu vergleichenden Standards aus 2005 und 2013 auf. Ausgehend von dem überarbeiteten Standard 2013 wird aufgezeigt, in welchen Control Sections des 2005 Standards diese „wiedergefunden“ werden können.

 

Anhang A

 

Veränderungen in Bezug auf mitgeltende ISO-Normen

In Bezug auf die ISO/IEC 27001:2013 sollten in direktem Zusammenhang noch die folgenden Standards aufgeführt und entsprechend berücksichtigt werden (die ISO/IEC 2700x-Familie enthält noch weitere Standards, vgl. z.B. hier). Die Standards können unter anderem hier erworben werden.

ISO/IEC 27000

Information technology - Security techniques - Information security management systems -
Overview and vocabulary
 

ISO/IEC 27001:2013

Information technology - Security techniques - Information security management systems -
Requirements
 

ISO/IEC 27002:2013

Information technology - Security techniques -
Code of practice for information security controls
 

ISO/IEC 27003:

Information technology - Security techniques -
Information security management system implementation guidance
 

ISO/IEC 27004:

Information technology - Security techniques -
Information security management - Measurement
 

ISO/IEC 27005:

Information technology - Security techniques -
Information security risk management
 

ISO 31000:2009:

Risk management - Principles and guidelines 

 

Zusammenfassung

Es ist nicht nur “Alter Wein in neuen Schläuchen” sondern es hat sich tatsächlich etwas durch die Überarbeitung des Standards getan. Insbesondere die Fokussierung auf die Risiken stellt eine deutliche und sinnvolle Anpassung dar, da hierdurch auf die eigentliche Ursache für mögliche Ausfälle in der IT abgestellt wird und nicht nur „stumpf“ nach der Erfüllung bzw. dem „wie“ der Erfüllung von Kontrollen gefragt wird.

Dadurch lassen sich die Kontrollziele wesentlich besser fokussieren und mit den determinierten Risiken abstimmen, was bisher in dieser Deutlichkeit nicht immer möglich war. D.h. es ist die Betrachtungsweise eine andere geworden. Bisher wurde gefragt, welche Kontrollen hat das Unternehmen implementiert und welche Risiken können damit abgedeckt werden.

Nun kann explizit die Fragen nach den definierten Risiken gestellt werden. D.h. die Fragestellungen, welche Risiken hat das Unternehmen identifiziert und wie reagiert es mit welcher Kontrolle darauf lässt sich effizeinter und zielführender beantworten. 

Risiken benennen in der Regel mögliche Ursachen für Unterbrechungen in den IT Services darstellen. Hier lassen sich nicht nur Brücken zum Risk Management errichten sonder auch zu den Themen des Business Continuity Management als auch zu den entsprechenden Richtlinien z.B. für Banken (MaRisk (BA)) und Versicherungen (MaRisk (VA)).

Insgesamt wird diese Umstellung voraussichtlich dazu führen, dass in der SOA (Statement of Applicability) eine wesentlich höhere Bedeutung als bisher erhalten wird, da durch den nunmehr risikoorientierten Ansatz nicht mehr alle Controls berücksichtig werden müssen, da nicht jedes Unternehmen über die Risiken „verfügt“, die durch die Controls abgedeckt werden.

Somit sollten sich Unternehmen die sich durch einen Geschäftspartner eine ISO 27001 Zertifizierung vorlegen lassen, nicht nur die Urkunde sondern mindestens auch Informationen zu der SOA Aufstellung vorlegen lassen, damit sie wissen, für welche Sections der ISO 27001 im Rahmen der Zertifizierung berücksichtigt wurden.

 

Weiterführende Literatur, u.a.:

  •  Guide to the Implementation and Auditing of ISMS Controls Based on ISO/IEC 27001, 174 Seiten, Verlag: BSI British Standards Institution; ISBN-10: 0580829103 ISBN-13: 978-0580829109; Okt. 2013 – sehr am Standard orientiert mit entsprechenden Erläuterungen und Empfehlungen.
  •  An Introduction to ISO/IEC 27001:2013,  96 Seiten,  Verlag: BSI British Standards Institution (ISBN-10: 058082165X ISBN-13: 978-0580821653, Nov. 2013 – zeigt auch die einhergehenden Veränderungen in anderen ISO Standards auf (teilweise auf Basis des aktuellen Wortlautes ausgearbeitet)

---------------------------------------------------------------------

[1] Vgl. Translation Guide - Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013 des BSI UK, Seite 4, BSI Group, 2013

[2] Vgl. Translation Guide - Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013 des BSI UK, Seite 8, BSI Group, 2013

[3] Vgl. Translation Guide - Moving from ISO/IEC 27001:2005 to ISO/IEC 27001:2013 des BSI UK, Seite 10, BSI Group, 2013