Am 08.11.2021 erschien der neue Entwurf „ISO/IEC DIS 27005“, welchen wir zum Anlass nehmen, dieser Norm einen genauen Blick zu widmen. Sie bildet die Basis für viele Best Practices und Entscheidungen zum Risikomanagement im Rahmen eines Informationssicherheitsmanagementsystems (ISMS), ohne dass die Verantwortlichen aktiv ihre Maßnahmen an dieser Norm ausgerichtet haben.
- Was regelt die ISO 27005?
- Relevanz der ISO 27005 für die Umsetzung der ISO 27001
- Welche Änderungen bringt der neue Entwurf?
- Unsere Bewertung der Überarbeitung
Was regelt die ISO 27005?
Die ISO/IEC 27005:2018 „Information technology — Security techniques — Information security risk management” beschreibt einen Risikomanagementprozess für den Bereich Informationssicherheit - von der Erarbeitung des Kontextes der Organisation über die Risikoanalyse und -bewertung bis hin zur Risikobehandlung und -überwachung.
Risikomanagement im Allgemein wird in der Norm ISO 31000:2018 („Risk management – Guidelines“) beschrieben. Hier wird erklärt, wie Risiken zu identifizieren und zu bewerten sind, um sie schließlich mit den bestmöglichen Maßnahmen behandeln zu können. Aufgrund der Bedeutung des Risikomanagements für die Informationssicherheit, ist das Thema ebenfalls zentraler Bestandteil der ISO/IEC 27001:2013. Zur Umsetzung der dort formulierten Anforderung liefert die ISO 27005 wichtige Spezifikationen, die im Rahmen der Umsetzung eines ISMS herangezogen werden können.
Relevanz der ISO 27005 für die Umsetzung der ISO 27001
Wie kommt es, dass wir eingangs sagten, die ISO 27005 findet bereits verbreitet praktische Anwendung, obwohl sie zu den eher weniger bekannten Normen zählt? Dies ergibt sich durch Anforderungen der ISO 27001 bzgl. der Analyse und Behandlung der Risiken in der Informationssicherheit und der dafür eingesetzten Managementsysteme.
Die Anforderungen an ein Risikomanagement und damit verbundene Risikoanalysen sind bei Unternehmen, die bereits Erfahrung mit der ISO 27001 haben, bekannt. Doch die ISO 27005 liefert zusätzlich eine detaillierte Beschreibung des Risikomanagementprozesses und eine genaue Beschreibung der einzelnen Schritte des Risikomanagements. Diese Ausführungen, kombiniert mit dem Annex der ISO 27005, in welchem sich unter anderem ein beispielhafter Bedrohungskatalog befindet, bilden einen nützlichen Leitfaden zur korrekten Etablierung eines Informationssicherheitsrisikomanagements und eine gute Basis zur Umsetzung der Forderungen der ISO 27001.
Forderungen der ISO 27001 an ein Informationssicherheitsrisikomanagement:
- klare Vorgehensweise zur Einschätzung von Risiken inklusive der Festlegung von Akzeptanzkriterien
- Identifikation von Informationssicherheitsrisiken,
- Analyse der möglichen Folgen bei Eintritt der identifizierten Risiken sowie der Abschätzung zugehöriger Eintrittswahrscheinlichkeiten und des damit einhergehenden Risikoniveaus
- Auswahl der Optionen zur Risikobehandlung
- Festlegung von passenden Maßnahmen und eines Plans für die Risikobehandlung
- Einholen einer Genehmigung des Plans sowie die damit verbundene Akzeptanz der Informationssicherheitsrestrisiken bei den Risikoeigentümern
Diese Inhalte und Konkretisierungen bringt die ISO 27005 in dem Zusammenhang:
- Umsetzung der Informationssicherheit auf der Grundlage einer Risikomanagementmethodik
- Festlegung des Risikomanagementkontextes
- Quantitative oder qualitative Bewertung (d.h. Identifizierung, Analyse und Bewertung) relevanter Informationsrisiken
- Kontinuierliche Überwachung und Überprüfung von Risiken, Risikobehandlungen, Anforderungen und Kriterien
- Angemessener Umgang mit Risiken
- Fortlaufende Kommunikation aller Beteiligten
Welche Änderungen bringt der neue Entwurf?
Sie nutzen die ISO 27005 bereits aktiv? Unsere Expert*innen haben für Sie einen Blick in die neue Fassung geworfen und nachfolgend die aus ihrer Sicht wichtigsten Änderungen aufgeführt:
Änderungen im Risikomanagement-Prozess
In der neuen Version bleibt der zu Grunde liegende Risikomanagement-Prozess in weiten Teilen gleich. Mit der neuen Prozess-Schnittstelle zu „Documented information (recording and reporting)“ wird nun jedoch ein zentraler Aspekt des ISMS als wichtiger Bestandteil des Prozesses ergänzt, indem die Dokumentation des Prozesses sowie der Ergebnisse einzelner Prozess-Durchläufe explizit gefordert wird.
Der ursprüngliche Teilschritt „Risk acceptance“ wurde in den Teilschritt von „Risk treatment“ integriert.
Konkretere Hilfe zur Umsetzung der ISO 27001
In der Einleitung wird nun deutlicher hervorgehoben, dass die Norm eine Orientierung zur Umsetzung der Anforderungen der ISO 27001 in Zusammenhang mit Informationssicherheitsrisiken bietet. Zusätzlich wird nahezu jede beschriebene Aktivität mit einer Referenz zum entsprechenden Abschnitt aus der ISO 27001 eingeleitet. Auch der Kontext zum Thema ISMS wird konsequent immer wieder hergestellt. Die neue Norm gewinnt damit deutlich an Nachvollziehbarkeit und Praktikabilität für alle, die sie zum Aufbau eines ISMS verwenden.
Neue Struktur
Im neuen Entwurf wurden einige Inhalte zusammengefasst und beispielsweise die Hintergrundinformationen in einem einzigen Kapitel (Kapitel 5: Information security risk management) gebündelt, wodurch die Norm nun mit 10 anstatt den ursprünglichen 12 Kapiteln auskommt:
- Scope
- Normative references
- Terms and definitions
- Structure of this document
- Information security risk management
- Context establishment
- Information security risk assessment process
- Information security risk treatment process
- Operation
- Leveraging related ISMS processes
„Risk Acceptance“ wird nicht mehr als ein eigenes Kapitel dargestellt, das Thema wird nun inhaltlich passend in Kapitel 8 unter „Risk Treatment“ integriert, da die Akzeptanz von Risiken als ein wichtiger Teilschritt der Risikobehandlung angesehen werden kann. In diesem erweiterten Kapitel finden sich nun außerdem konkrete Ausführungen zum Heranziehen der Maßnahmen aus dem Annex der ISO 27001 sowie zur Erstellung einer Erklärung zur Anwendbarkeit, womit wieder ein konkreter Bezug zur ISO 27001 geschaffen wird.
Das neue Kapitel 9 „Operation“ liefert zusätzlich Anforderungen an die konkrete Durchführung der in Kapitel 7 und 8 beschriebenen Aktivitäten, in welchen etwa die Anlässe sowie Häufigkeit der Durchführung definiert werden.
Die überarbeitete Norm schließt mit dem gänzlich neuen und umfangreichen Kapitel 10 „Leveraging related ISMS processes“ ab, das Details zur Verwirklichung verwandter ISMS Prozesse liefert. Die ehemals eigenen Kapitel zu Risk Communication und Monitoring werden hier inhaltlich aufgenommen. Außerdem finden sich darin viele weitere Informationen, die im Kontext eines ISMS wichtig sind, zum Beispiel zur Erstellung dokumentierter Information, aber auch zu Themen wie kontinuierlicher Verbesserung oder Verantwortung der Führungsebene.
Definitionen und wichtige Begriffe
In Kapitel 3 „Terms and definitions“ findet sich eine hilfreiche Ergänzung. An dieser Stelle wird nicht mehr nur auf die Gültigkeit der Begriffe aus der ISO 27000 verwiesen, sondern auch eine Reihe von Definitionen zu wichtigen Begriffen aus den Themenbereichen „information security risk“ und „information security risk management“ geliefert. Daraus resultiert auch, dass in der Norm viele Abschnitte gekürzt und prägnanter formuliert werden können, da zentrale Begriffe bereits eingangs bekannt und verständlich gemacht werden.
Hervorhebung der Rolle des Risk Owner
Im Gegensatz zur vorherigen Version wird im neuen Entwurf einige Male auf den Risk Owner eingegangen. Dieser spielt eine wichtige Rolle beim Risikomanagement, beispielsweise, indem er eine Bewertung und Priorisierung der ihm zugeordneten Risiken durchführt oder die Verantwortung für Restrisiken übernimmt. Im neuen Entwurf finden sich Hilfestellungen dazu, passende Risk Owner zu identifizieren und Hinweise darauf, welche Risikomanagementaktivitäten den Risk Owner involvieren.
Unsere Bewertung der Überarbeitung
Verständlicher, praktikabler, nachvollziehbarer und übersichtlicher – die neue Version der ISO 27005 bringt deutliche Vorteile mit sich. Die neue Struktur und der nun komprimierte, übersichtlich gestaltete Annex sorgen für Klarheit und helfen dabei, zu verstehen, was den Risikomanagementprozess ausmacht und wie er durchgeführt werden muss. Durch den neuen Umgang mit zentralen Begriffen wird der Text verständlicher. Dank der stärkeren Orientierung an der ISO 27001, die für den Leser durch konkrete Verweise nachvollziehbar gemacht wird, bietet die Norm ein noch besseres Hilfsmittel zur Umsetzung der dort formulierten Anforderungen.