Seit dem Ende des Jahres 2022 ist die neue Version der ISO 27001:2022 verfügbar. In diesem Artikel beschreibe ich die wesentlichen Unterschiede, die ich zwischen der neuen Version und der von 2017 erkennen konnte.

Wie umfassend sind die Änderungen?
Zunächst die erfreuliche Nachricht: Der Hauptteil der Norm bleibt größtenteils unverändert. Es gibt lediglich zwei geringfügige inhaltliche Änderungen und einige Umgestaltungen, die wenige Unterüberschriften hinzufügen, um die Struktur zu verbessern.

Änderungen im Hauptteil der Norm:
Interessierten Parteien: In der ISO 27001:2017 war es bereits erforderlich (Kapitel 4.2), die relevanten Interessierten Parteien und ihre Bedürfnisse zu identifizieren. In der Version 2022 haben Sie jedoch die Möglichkeit, zu entscheiden, welche Interessengruppen für Sie von Bedeutung sind und welche nicht.

Betriebliche Planung und Steuerung: Kapitel 8.1 wurde etwas verschärft. Die Anforderungen an die Prozesse, die in Ihrer Organisation zur Verfolgung der Informationssicherheit benötigt werden, sind nun deutlicher formuliert. Obwohl die ISO 27001:2022 nicht direkt vorschreibt, dass alle Prozesse dokumentiert werden müssen, sind die Kriterien für eine schriftliche Dokumentation präziser. Es ist zu erwarten, dass Auditoren dies genauer prüfen werden.

Anhang A – Alles auf den Kopf gestellt?
So sieht es zumindest aus. Die knapp 120 Einzelmaßnahmen aus der ISO 27001:2017 wurden auf 93 reduziert. Allerdings ist es dadurch nicht unbedingt einfacher geworden, da einige Maßnahmen zu einer einzigen zusammengeführt wurden.
Zusätzlich gibt es einige völlig neue Maßnahmen, die folgendermaßen aussehen:

Threat Intelligence
Auf strategischer Ebene (Geschäftsführung) sowie auf operativer und taktischer Ebene (z. B. IT) werden aufkommende Bedrohungen aktiv gesammelt, um frühzeitig darauf reagieren zu können.

Information Asset Management
Die ISO 27001 fordert nun ausdrücklich, dass Informationswerte (primäre assets) denselben Regeln unterliegen wie Informationsträger (supporting assets). Das bedeutet, dass die Eigentümerschaft geregelt werden muss, ebenso wie der Zugang zu Informationswerten, die Rückgabe von Zugängen und vieles mehr. In der ISO 27001:2017 war es noch möglich, sich weitgehend auf Informationsträger zu beschränken, aber das ist jetzt nicht mehr der Fall.

Web Filtering
Ab sofort muss der Zugang zu externen Websites verwaltet werden, um sicherzustellen, dass Mitarbeiter der Organisation nicht versehentlich Malware herunterladen oder Zugang zu Ressourcen erhalten, auf die sie keinen Zugriff haben sollten.

Identity Management
Die ISO 27001 fordert nun eine ganzheitliche Betrachtung über den gesamten Lebenszyklus von Identitäten, die Zugriffe auf Informationswerte und Informationsträger haben sollen, unabhängig davon, ob es sich um menschliche oder maschinelle Identitäten handelt.

Information Security bei Nutzung von Clouddiensten
Die Organisation muss nun explizit definieren, welchen Grad an Informationssicherheit (in der Regel Verfügbarkeit) sie bei Ausfällen bestimmter Dienste oder Geräte aufrechterhalten möchte. Obwohl dieses Thema in der ISO 27001:2017 im Bereich Business Continuity eher versteckt war oder dort abgedeckt werden konnte, ist es nun explizit gefordert.

Sicherheit im Home-Office
Die ISO 27001:2022 berücksichtigt auch die Arbeit von zu Hause aus und erkennt an, dass Mitarbeiter im Home-Office oft eine weniger sichere Infrastruktur haben als im Büro. Daher muss dies nun explizit geregelt werden.

Event Reporting
Gemeint ist hiermit nicht die automatische Überwachung von Logfiles, sondern die Sensibilisierung der Mitarbeiter für einfache und schnelle Meldeverfahren bei möglichen Vorfällen in der Informationssicherheit.

Zugangsbeschränkungen gem. Policy
Die ISO 27001:2022 fordert nun, dass die Zugriffsrechte auf Informationen in einer Policy festgelegt werden sollten, die aus der Informationssicherheitsstrategie abgeleitet wird. In der ISO 27001:2017 wurde lediglich ein „formeller Prozess“ für die Zugriffskontrolle gefordert, jedoch nicht explizit die Ableitung aus der Strategie.

Configuration Management
In der neuen Version der Norm wird explizit gefordert, dass wichtige Konfigurationen von Systemen (Hardware, Software, Dienste, Netzwerke, usw.) etabliert, dokumentiert und aufrechterhalten werden müssen, um die Sicherheit zu gewährleisten. Diese Forderung gab es in der vorherigen Version der Norm nicht in dieser Form. Bisher konnte sie beispielsweise in den „dokumentierten Bedienverfahren“ berücksichtigt werden. Wenn Sie auf die neue Version umsteigen, könnte es jedoch notwendig sein, diese Forderung separat zu erfüllen.

Data Masking
Die schützenswerten Bestandteile von Daten müssen gemäß bestimmter Regeln pseudonymisiert oder anonymisiert werden, um unbefugte Kenntnisnahme zu verhindern. Zudem wird nun auch in der ISO 27001:2022 ein Löschkonzept für sämtliche Datenarten in der Organisation gefordert, ähnlich wie die DSGVO es bereits für personenbezogene Daten vorschreibt.

Data Leakage Prevention
Mit dieser Forderung stellt uns die neue ISO 27001:2022 vor eine der umfangreichsten Aufgaben. Es ist jetzt erforderlich, dass Organisationen genau überlegen und dokumentieren, wie schützenswerte Informationen unbeabsichtigt „verloren gehen“ können. Denkbar sind beispielsweise: Geschäftsreisen, Besprechungen, E-Mails, Uploads auf Servern, unverschlüsselte Daten auf verlorenen Datenträgern und mobilen Geräten oder die Speicherung auf falschen Fileservern. Auch der Zugriff durch unberechtigte Mitarbeiter bei fehlerhafte Rechtevergabe ist neben vielen weiteren Szenarien zu berücksichtigen. Hierdurch sollen geeignete technische und organisatorische Maßnahmen ermittelt werden, um wirksam die bestehenden Risiken zu beseitigen.

 

Matthias A. Walter, http://www.tec4net.com

————————————————————————————————————————-

Quellen und Links:

Beuth Verlag – Anforderungen ISO/IEC 27001:2022
https://www.beuth.de/de/norm/iso-iec-27001/360980333

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen