Vor einigen Tagen wurde ein Amendment zur ISO/IEC 27001:2013 veröffentlicht, der „ISO/IEC 27001:2013/DAMD 1:2022“. Der Annex des Standards erhält darin eine neue Struktur. Diese Überarbeitung ist eine direkte Folge des vor einem Jahr veröffentlichten Entwurfs der ISO/IEC 27002. Die Anforderungen der ISO/IEC 27002 wirken sich auf die Inhalte der anderen ISO 27000-Standards aus, wodurch Folgeanpassungen, wie nun an der ISO 27001, bereits von unseren Experten erwartet wurden.
Andrea Rupprich und Maximilian Müller beraten seit vielen Jahren Unternehmen beim Aufbau und der Optimierung ihrer Informationssicherheit. Sie haben einen genaueren Blick auf den Entwurf des neuen ISO 27001 Annex geworfen:
„Der Entwurf des Amendments der ISO 27001 ist sehr ähnlich zum Entwurf der ISO 27002 aus dem letzten Jahr“, gibt Maximilian Müller, Managing Security Consultant, eine Zusammenfassung. „Die neue Struktur, die wir im Entwurf der ISO 27002 bereits gesehen haben, wurde hier identisch übernommen: Der Aufbau der einzelnen Kapitel wurde im Vergleich zur Vorversion vollständig überarbeitet. Interessant ist an dieser Stelle, dass erneut ausschließlich die Überschriften und die eigentlichen Maßnahmen, das heißt die Controls aus der ISO 27002, in den Annex übernommen wurden. Weder der Purpose - also der Zweck - noch die einzelnen Tags, welche bei der Filterung und Sortierung der Maßnahmen unterstützen, wurden mit in den Annex integriert. Abgesehen davon gibt es keine inhaltlich relevanten Überarbeitungen. In den Controls finden sich lediglich sprachliche Korrekturen, kleinere Umformulierungen oder Satzumstellungen.“
Für die betroffenen Unternehmen stellt sich nun die Frage, wie sich die Änderungen auf die Anwendung der bisherigen ISO 27001 aus dem Jahr 2013 im Rahmen ihres ISMS auswirken. Handelt es sich nur um formale und strukturelle Änderungen? Oder sind neue Controls hinzugekommen, die eine Überarbeitung der Maßnahmen nach sich ziehen?
Wie bereits bei der ISO/IEC 27002 wurden aus den bis dato 14 Security Control Clauses, denen 35 Security Categories mit insgesamt 114 Controls untergeordnet sind, nun 4 Themes mit 93 Controls:
- Organizational controls
- People controls
- Physical controls
- Technological controls
Innerhalb dieser vier Bereiche wurden neue Maßnahmen aufgenommen, bestehende Maßnahmen neu zugeordnet oder zusammengefasst.
Dies hat zur Folge, dass vorhandene Informationssicherheitsmanagementsysteme leicht anzupassen sind. Eine Änderung betrifft beispielsweise die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA). Diese ist gemäß den Anforderungen des Standards an den Controls aus dem Annex ausgerichtet und gibt an, inwiefern diese Maßnahmen im Unternehmen anwendbar sind. Die SoA muss daher analog zur neuen Struktur des Annex überarbeitet werden.
Für die neuen Controls sollte mithilfe einer Gap-Analyse geprüft werden, ob es hierzu bereits Vorgaben und zugehörige Maßnahmenumsetzungen gibt. Sollte dies für den Geltungsbereich nicht der Fall sein und relevante Lücken erkannt werden, so sind entsprechende Vorgaben und Maßnahmen zu etablieren. Die bald erscheinende finale Version der ISO/IEC 27002:2022 wird den Unternehmen mit den neu gestalteten Erläuterungen hierfür eine umfangreiche Hilfestellung geben.
Andrea Rupprich verantwortet den Bereich Informationssicherheitsmanagement-Beratung innerhalb des usd Leistungsbereichs Security Consulting. Sie empfiehlt betroffenen Unternehmen: „Wenn Sie über ein vollständig implementiertes ISMS verfügen, ist ein gänzlicher Umbau nicht notwendig, da die Hauptkapitel der ISO 27001 unverändert geblieben sind. Häufig mappen aber Unternehmen ihre Vorgaben auf die Maßnahmen aus dem ISO 27001 Annex. Dieses Mapping müsste dann entsprechend angepasst werden. Dafür bietet die ISO 27002 eine gute Übersicht über die Zuordnung der neuen auf die alten Controls an. Doch keine Sorge, dafür bleibt Ihnen ausreichend Zeit: Das Amendment ist bisher nur in einer Draft-Version veröffentlicht worden und auch nach der offiziellen Veröffentlichung bleiben üblicherweise 3 Jahre Zeit, um das eigene ISMS auf die neuen Anforderungen anzupassen. Sofern Sie aktuell ein neues ISMS nach ISO 27001 planen und implementieren, bietet es sich jedoch an, sich bereits an den neuen Maßnahmen zu orientieren, um eine spätere Harmonisierung zu vermeiden - sei es bei der Richtlinienerstellung oder im Risikomanagement.“
Der Entwurf steht innerhalb der Experten-Community bis zum 26. April 2022 zur Prüfung. Anschließend werden die eingegangenen Kommentare ausgewertet, bevor er zu einem „Final Draft Amendment“ wird, der schließlich in die Veröffentlichung mündet.