Die internationale Norm ISO/IEC 27002 ist ein Leitfaden für Informationssicherheitsmaßnahmen, welcher momentan noch in der englischen Fassung aus dem Jahr 2013 bzw. in der deutschen Fassung aus dem Jahr 2017 anzuwenden ist.
Die Vorgaben der Norm sind nicht verpflichtend anzuwenden, es handelt sich vielmehr um Empfehlungen, die umgesetzt werden können. Allerdings ergeben sich durchaus Auswirkungen auf andere Standards aus der 27000-Normenreihe, da die Norm die Informationssicherheitsmaßnahmen (Controls) des Anhangs A der Norm ISO/IEC 27001, welche die zentrale Norm für Informationssicherheitsmanagementsysteme darstellt, konkretisiert und erläutert.
Für die Norm ist jeweils fünf Jahre nach dem Inkrafttreten eine Überarbeitung vorgesehen, welche planmäßig im März 2018 begann. Nach einer knapp dreijährigen Überarbeitungsphase haben die International Organization for Standardization (ISO) und die International Electrotechnical Commission (IEC) im Januar diesen Jahres den Entwurf für die Norm ISO/IEC DIS 27002:2021-01 veröffentlicht. Der Erlass der finalen Version wird spätestens Ende des laufenden Jahres erwartet.
Bereits die Tatsache, dass die Bezeichnung der Norm geändert wurde, lässt darauf schließen, dass weitreichende Änderungen vorgenommen wurden. Während ISO/IEC 27002:2013 den Titel „Information technology - Security techniques - Code of practice for information security controls” trägt, wurde die neue Norm mit dem Titel „Information security, cybersecurity and privacy protection - information security controls” bezeichnet. Demnach beschäftigt sich die neue Norm neben der Informationssicherheit auch explizit mit den Themengebieten Cyber-Sicherheit und Datenschutz. Ebenso wird bei dem Vergleich des Umfangs deutlich, dass die geplante Norm ISO/IEC DIS 27002:2021-01 mit 50 Seiten mehr deutlich umfassender ist.
Der Anwendungsbereich der Norm hat sich nicht verändert. Sie richtet sich weiterhin sowohl an Organisationen, die ein Informationssicherheitsmanagementsystem gemäß ISO/IEC 27001 eingerichtet haben und hierfür Maßnahmen auswählen, als auch an Organisationen, die allgemein akzeptierte bzw. selbst entwickelte Maßnahmen für Informationssicherheit umsetzen bzw. entwickeln möchten. Bislang wurde hinsichtlich Definitionen und Abkürzungen auf die übergeordnete Norm ISO/IEC 27000 verwiesen. Da sich jedoch Änderungen ergeben haben, bzw. ergänzende Begriffsdefinitionen notwendig waren, wurde ein separater Abschnitt hierfür in die neue Norm aufgenommen.
Der Aufbau der Norm ISO/IEC 27002 wurde vollständig überarbeitet. Während in der bisherigen Norm 14 Control Clauses (Sicherheitsmaßnahmen) mit 35 Security Categories (Hauptsicherheitskategorien) und 114 Controls (Maßnahmen) enthalten waren, unterteilt die neue Norm nur noch in die vier Themes (Themen): organizational controls, people controls, physical controls und technological controls. Das Thema organizational controls ist dabei als eine Art Residualkategorie anzusehen, der alle Controls (Maßnahmen) zugeordnet wurden, die thematisch nicht den anderen Themenbereichen zugeordnet werden konnten. Den Themen sind wiederrum insgesamt 93 Controls (Maßnahmen) zugeordnet. Auch wenn die Struktur der Norm komplett geändert wurde, dürften die jeweiligen Maßnahmen vergleichsweise leicht zu finden sein, da die Zuordnung zu den Themen selbsterklärend ist. Zudem ist im Anhang der Entwurfsfassung ein Mapping enthalten, welches beschreibt, an welcher Stelle sich die jeweiligen Controls (Maßnahmen) aus der alten 27002-Norm in der neuen Norm wiederfinden lassen.
Jede dieser Controls setzt sich nun aus den folgenden Bestandteilen zusammen:
Zu den in der Norm aufgeführten Controls (Maßnahmen) wurden sog. Attributes aus fünf verschiedenen Kategorien hinzugefügt:
Jeder Control (Maßnahme) wird zu jedem Attribut mindestens ein Wert zugeordnet. Bspw. werden für das Attribut Control Type (Kontrolltyp) die Controls (Maßnahmen) mit den Werten #Preventive (#Präventiv), #Detective (#Erkennend) oder #Corrective (#Korrigierend) verbunden. Im Anhang der Norm ISO/IEC DIS 27002:2021 findet sich eine Tabelle zur Verwendung dieser Attribute. Durch die Zuordnung der Attribute zu den Controls (Maßnahmen) wird den Organisationen zum einen eine zielgerichtete und fokussierte Anwendung der Norm ermöglicht, zum anderen besteht dadurch ein geringerer Interpretationsspielraum bei der Anwendung. Bspw. kann so direkt nach allen Maßnahmen gefiltert werden, die sich auf eine bestimmte Informationssicherheitseigenschaft wie die Vertraulichkeit beziehen.
Bei der Betrachtung der neuen Norm auf Kontrollebene lässt sich feststellen, dass keine einzige Control (Maßnahme) unverändert aus der bisher gültigen Norm übernommen wurde. Stattdessen gibt es 11 komplett neue Controls, eine Control wurde nicht übernommen, eine Control wurde aufgeteilt, 56 Controls wurden auf 24 Controls komprimiert und die verbleibenden Controls wurden neu formuliert.
Die neuen Controls (Maßnahmen) stammen überwiegend aus dem Themenbereich technological controls. Bei der entfernten Control (Maßnahme) handelt es sich um die Control 11.2.5 Removal of assets (Entfernen von Werten), welche sich mit der Entfernung von Geräten, Betriebsmitteln, Informationen und Software vom Betriebsgelände ohne vorherige Genehmigung befasst. Diese Control (Maßnahme) wurde als redundant angesehen, da dieselbe Thematik bereits in der Control (Maßnahme) zur Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten (11.2.6. ISO/IEC 27002-2017) behandelt wird. Durch die Zusammenfassung und Integration mehrerer Kontrollmaßnahmen dürfte es in der Zukunft schwieriger werden, bestimmte Maßnahmen nicht umzusetzen, sofern sie im eigenen Unternehmen nicht vorhanden sind.
Im Rahmen der Überarbeitung der Norm wurde zu jeder Control (Maßnahme) ein Abschnitt zu Guidance and Other Information (Maßnahmen zur Umsetzung und andere Informationen) formuliert. Bislang gab es auch vereinzelt Maßnahmen, bei denen diese Angaben nicht vorhanden waren. Zudem sind diese Bereiche nun deutlich umfassender gestaltet und konkretisieren die jeweiligen Umsetzungsmöglichkeiten. Der höhere Detaillierungsgrad ist zwar mitverantwortlich für den größeren Umfang der Norm, allerdings bietet er durchaus eine nützliche Hilfestellung, insb. auch bei der Erstellung von unternehmensinternen Richtlinien.
Mit der ISO/IEC DIS 27002:2021-01 ist eine umfassende Überarbeitung der bisherigen Vorgaben vorgesehen. In der Praxis wird nur die Umsetzung der 11 neu implementierten Maßnahmen nicht ausreichend sein, denn auch die übernommenen Maßnahmen haben weitreichende Änderungen erfahren. Es handelt sich bei der Norm um einen Code of Practice, das bedeutet, eine Zertifizierung nach dieser Norm ist nicht möglich. Demnach bleibt eine Aktualisierung der ISO 27001 abzuwarten, um anschließend zertifiziert werden zu können.
Hinsichtlich der inhaltlichen Änderungen der Norm lässt sich allerdings festhalten, dass sich keine tiefgreifenden neuen Aspekte in der Norm vorfinden. Bei den aufgeführten Maßnahmen handelt es sich um allgemein akzeptierte Maßnahmen, die teilweise bereits in der Praxis umgesetzt werden.
Auch wenn es sich bislang nur um einen Entwurf handelt, ist damit zu rechnen, dass dessen Inhalt größtenteils in die finale Fassung übernommen wird. Organisationen, die ein Informationssicherheitsmanagementsystem implementiert haben, sollten sich daher bereits jetzt mit den Änderungen auseinandersetzen.
Wir halten Sie auf dem Laufenden.
Haben Sie bis Fragen, so kontaktieren Sie uns gern.
Marc Alexander Luge | Juli 2021