Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-Managementsysteme - Audits und Zertifizierung nach ISO 27001 und IT-Sicherheitskatalog durch die ÖHMI EuroCert GmbH
ISO 27001 - der weltweit anerkannte Standard für die Bewertung der Sicherheit von Informationen und IT-Umgebungen
Informationen - Informationswerte - Informationssicherheit - Informationssicherheitsmanagementsystem nach ISO 27001
Alle Organisationen, unabhängig von ihrer Art und Größe, befassen sich unausweichlich mit Sammeln, Verarbeitung, Speicherung und Übermittlung von Informationen. Sämtliche Informationen, die von jeder einzelnen Organisation gehalten und verarbeitet werden, unterliegen der Bedrohung durch Angriffe, Fehler, Naturereignisse sowie durch Schwachstellen, die ihre Nutzung grundsätzlich mit sich bringt.
In der Lage zu sein, berechtigten Bedarfsträgern korrekte und vollständige Informationen in angemessener Zeit zu übermitteln gehört zu den Katalysatoren für betriebliche Wirtschaftlichkeit.
Der Begriff Informationssicherheit ist im Allgemeinen darauf zurückzuführen, dass Informationen als Wert angesehen werden, wobei dieser Wert entsprechend einen angemessenen Schutz insbesondere gegen den Verlust von Verfügbarkeit, Vertraulichkeit und Integrität erfordert. Somit umfasst die Informationssicherheit die Anwendung und das Management von angemessenen Sicherheitsmaßnahmen unter Berücksichtigung einer großen Bandbreite von Bedrohungen mit dem Ziel, anhaltenden geschäftlichen Erfolg und einen kontinuierlichen Geschäftsbetrieb (Business Continuity) sicherzustellen und Beeinträchtigungen durch Informationssicherheitsvorfälle zu minimieren.
Der wirksame Schutz von den Informationswerten durch Definition, Erlangung, Pflege und Verbesserung der Informationssicherheit ist erforderlich, um eine Organisation in die Lage zu versetzen, ihre Ziele zu erreichen, die gesetzlichen Regelungen einzuhalten sowie ihr Image aufrechtzuhalten und zu verbessern.
Für den wirksamen Schutz der Informationswerte bedarf es ein systematisches Vorgehen. Dieses kann durch die Einführung eines Informationssicherheitsmanagementsystem erreicht werden.
Ein Informationssicherheitsmanagementsystem (ISMS) umfasst Politik, Verfahren, Richtlinien und damit verbundene Ressourcen und Tätigkeiten, die alle von einer Organisation gesteuert werden, um ihre Informationswerte zu schützen. Ein ISMS stellt ein systematisches Modell dar, welches für die Einführung, die Umsetzung, den Betrieb, die Überwachung, die Überprüfung, die Pflege und die Verbesserung der Informationssicherheit einer Organisation widerspiegelt, um Geschäftsziele zu erreichen. Es basiert auf einer Risikobeurteilung und dem Risikoakzeptanzniveau der Organisation und dient dazu, die Risiken wirksam zu behandeln und zu handhaben.
Informationssicherheit wird durch die Umsetzung eines geeigneten Maßnahmenkatalogs erreicht. Dieser Maßnahmenkatalog wird durch den festgelegten Risikomanagementprozess ausgewählt und mit Hilfe des eingeführten ISMS gesteuert. Das eingeführte ISMS an sich umfasst Richtlinien, Prozesse, Verfahren, Organisationsstrukturen, Software und Hardware zum Schutz von identifizierten Informationswerten.
Warum ein ISMS nach ISO 27001 wichtig ist
Informationen und die dazu gehörigen Prozesse, Systeme und Netzwerke sind entscheidende Wirtschaftsgüter in der heutigen vernetzten Welt. Organisationen und ihre Informationssysteme und Netzwerke sind mit einer Reihe von Sicherheitsbedrohungen konfrontiert. Dazu gehören u.a.:
- computergestütztem Betrug,
- Spionage,
- Sabotage,
- Vandalismus,
- Feuer und Überschwemmungen.
Schäden an Informationssystemen und Netzwerken, die durch Schadcode, Computer-Hacking, und Denial-of-Service-Angriffe verursacht werden, sind mittlerweile fester Bestandteil des geschäftlichen Alltags geworden. Vor diesem Hintergrund ist ein ISMS nach ISO 27001 sowohl im öffentlichen Bereich als auch in der Privatwirtschaft wichtig. In jeder Branche ist ein ISMS nach ISO 27001 ein Wegbereiter, der E-Business unterstützt und für Risikomanagement-Tätigkeiten unerlässlich ist.
Die Informationssicherheit wird oft als eine rein technische Lösung betrachtet. Das Maß an Informationssicherheit allerdings, das durch technische Mittel erreicht werden kann, ist jedoch begrenzt. Die kann auch unwirksam sein, wenn es nicht durch ein geeignetes Management und entsprechende Verfahren im Rahmen eines ISMS nach ISO 27001 unterstützt wird.
Wenn Organisationen ein ISMS nach ISO 27001 einführen und leben, können sie ihre Fähigkeit, einheitliche und gegenseitig erkennbare Prinzipien der Informationssicherheit anzuwenden, Geschäftspartnern und anderen interessierten Parteien unter Beweis stellen.
Cybersecurity, Cloud-Sicherheit und mehr Datenschutz: seit Oktober 2022 präsentiert sich die ISO-Familie mit der jüngsten Version der internationalen Norm ISO/IEC 27001 „Information security, cybersecurity and privacy protection - Information security management systems - Requirements“
Harmonized Structure (HS) vs. High Level Structure (HLS) und die ISO/IEC 27001:2022:
Die bisherige High Level Structure (HLS) wird durch die sogenannte Harmonized Structure (HS) ersetzt und die ISO/IEC 27001 gehörten zu den ersten ISO-Normen, die bereits an die HS angepasst wurden. Als würdiger Nachfolger der HLS bildet die HS einen einheitlichen Grundgerüst für alle ISO-Normen. Somit bietet sie zugleich eine entsprechende Vorlage nicht nur für die Ausarbeitung von neuen, sondern auch für zukünftige Überarbeitung von bereits bestehenden ISO-Normen.
Das ISO-Tandem 27001-27002:
Die Auflistung mit den möglichen Security Controls bzw. Sicherheitsmaßnahmen im normativen Anhang A der neuen ISO/IEC 27001:2022 wurde aus dem bereits im Februar 2022 veröffentlichten und rundum aktualisierten Leitfaden ISO/IEC 27002:2022 übernommen. Die überarbeitete ISO/IEC 27002 enthält eine vereinfachte Taxonomie und up-to-date Sicherheitsmaßnahmen und dient nach wie vor als Umsetzungsanleitung für die ISO/IEC 27001. Somit erhalten die beiden ISO-Normen ihr Image als erfolgreiches Norm-Tandem aufrecht und halten zugleich Schritt mit dem aktuellen Stand der Technik.
Die NEUE ISO 27001: Prozessbezug/ Prozessorientierung als Schwerpunkt
Die Anpassung an die HS rückt die Anforderung an den Prozessbezug entsprechend sehr stark in den Fokus eines wirksamen Informationssicherheitsmanagementsystem. Klar definierte Prozesse, deren Wechselwirkung sowie die Erarbeitung zielführender Kriterien für die Steuerung der Prozesse bilden die Grundlagen für ein wirksames Managementsystem.
Eine weitere wesentliche Ableitung aus der HS präsentiert sich mit dem neuen Abschnitt 6.3. Dieser bringt mit sich die Anforderung, eine geplante Umsetzung bei ISMS-Änderungen durchzuführen.
Inhaltliche Änderungen in den einzelnen Abschnitten der ISO 27001:2022
Die Abschnitte 4, 6 und 8 der ISO 27001 enthalten die wesentlichen inhaltlichen Änderungen. Darüber hinaus gibt es in den Abschnitten 5.3, 6.1.3, 7.4, 9.2, 10.1 einige etwas geringfügigeren Präzisierungen, Anpassungen sowie Klarstellungen.
Die NEUE ISO 27001: Wesentliche inhaltlichen Änderungen
Abschnitt 4.4: Information security management system / Informationssicherheitsmanagementsystem
Das Schwerpunktthema Kontext der Organisation wird um die Anforderung, erforderliche und nachvollziehbare Prozesse sowie deren Wechselwirkungen im Rahmen des ISMS zu bestimmen, ergänzt. Mit der dieser ausdrücklichen Anforderung an die Prozessorientierung wird die ISO 27001 in Einklang mit dem sogenannten Best-Practice-Ansatz anderer bestehenden Managementsysteme gemäß HS gebracht. Um diese Prozesse werden dann Die Maßnahmen/ Controls zur Informationssicherheit aus Anhang A werden dann um diese Prozesse entsprechend angepasst und ausgestaltet.
Abschnitt 6.3: Planning of changes/ Planung von Änderungen
Hierzu besteht die Anforderung, dass eine geplante Umsetzung aller ISMS relevanten Änderungen zu erfolgen hat. Somit sind die ISMS-Verantwortlichen in der Pflicht den ISMS-bezogene Veränderungsprozess auch entsprechend zu beherrschen.
Abschnitt 8.1: Operational planning and control/ Betriebliche Planung und Steuerung
Der Abschnitt zur betrieblichen Planung und Steuerung untermauert den der Prozessorientierung beigemessenen hohen Stellenwert. Alle ISMS affinen Unternehmen haben geeignete Prozesse zu realisieren, so dass Maßnahmen zur Bewältigung der Informationssicherheitsrisiken umgesetzt werden können. NEU dabei ist Anforderung zur Festlegung von Prozesskriterien für die Prozesssteuerung.
Die NEUE ISO 27001: Abschnitte mit geringfügigen Änderungen
Abschnitt 5.3: Organisation Organizational roles, responsibilities and authorities / Rollen, Verantwortlichkeiten und Befugnisse
Die Verantwortlichkeiten und Befugnisse für Rollen mit Bezug zur Informationssicherheit sind demnach innerhalb der Organisation bekannt zu machen.
Abschnitt 6.1.3: Information security risk treatment / Informationssicherheitsrisikobehandlung
Hiermit wird eine größere Flexibilität bei der Auswahl, Gestaltung und Erweiterung der Referenzmaßnahmen aus Anhang A (Liste möglicher /possible Informationssicherheitsmaßnahmen/ controls) durch Norm eingeräumt. Dadurch zeigt die neue ISO 27001 - Version zudem auf, dass der Managementsystemrahmen für organisationsspezifische Maßnahmensätze geöffnet ist.
Abschnitt 7.4: Communication/ Kommunikation
Die neue ISO 27001 regelt in diesem Abschnitt weiterhin die Notwendigkeit für interne und externe Kommunikation im Rahmen des ISMS mit entsprechenden Festlegungen zum Worüber, Wann mit Wem und Wer. Ergänzend dazu kommt noch das WIE (im Sinne von wie erfolgt die der Kommunikation) als willkommene und praktikable Vereinfachung im Vergleich zu früheren Anforderungen.
Abschnitt 9.2: Internal Audit/ Internes Audit und Abschnitt 9.3 Management review/ Managementbewertung
Die zwei Abschnitte wurden an die Harmonized Structure der ISO 27001:2022 angepasst und entsprechende neu untergliedert.
Abschnitt 10.1: Continual improvement/ Fortlaufende Verbesserung
Die prospektive fortlaufende Verbesserung in diesem Abschnitt wird jetzt dem retrospektiven Umgang mit Nichtkonformitäten und Korrekturmaßnahmen im Abschnitt 10.2 Nichtkonformität und Korrekturmaßnahmen (Nonconformity and corrective action), vorangestellt. Keine weiteren inhaltliche Änderungen wurden dabei durchgeführt. Durch diese Reihenfolge-Änderung wird die Bedeutung des Prozesses zur fortlaufenden Verbesserung nochmals hervorgehoben und eindeutig unterstreicht.
Die NEUE ISO 27001: Wesentliche Änderungen im Anhang A der ISO 27001:2022
Im Gegensatz zu ihren Vorgängerinnen umfasst die neue ISO 27001 statt 114 nur noch 93 Sicherheitsmaßnahmen/ controls. Diese sind zudem in 4 Hauptkategorien untergliedert. Diese vier Abschnitte enthalten die Themenbereiche Organisatorische Maßnahmen mit 37 zugeteilten Sicherheitsmaßnahmen, Personenbezogene Maßnahmen mit 8 zugeteilten Sicherheitsmaßnahmen, Physische Maßnahmen mit 14 zugeteilten Sicherheitsmaßnahmen sowie den Themenbereich Technische Maßnahmen mit 34 zugeteilten Sicherheitsmaßnahmen
Die neuen Sicherheitsmaßnahmen im Anhang A der ISO 27001:2022
Neben einiger Streichungen und Zusammenfassungen von Sicherheitsmaßnahmen im Anhang A der neuen ISO 27001, werden durch die Norm auch elf neue Sicherheitsmaßnahmen vorgegeben. Diese umfassen:
Neben einiger Streichungen und Zusammenfassungen von Sicherheitsmaßnahmen im Anhang A der neuen ISO 27001, werden durch die Norm auch elf neue Sicherheitsmaßnahmen vorgegeben. Diese umfassen:
A.5.7: Threat Intelligence / Bedrohungsintelligenz (NEUE Organisatorische Maßnahme)- Bestimmung von Schutzmaßnahmen aufgrund von gesammelten und entsprechend analysierten Bedrohungsinformationen
A.5.23: Information Security for use of Cloud Services / Nutzung von Cloud-Diensten (NEUE Organisatorische Maßnahme)
Diese Maßnahme zielt auf die Sicherstellung von einem sicheren Prozess für Onboarding, Nutzung, Verwaltung sowie Ausstieg bei Cloud Anbietern ab.
A.5.30: ICT readiness für Business Continuity / IKT-Bereitschaft für Business Continuity (NEUE Organisatorische Maßnahme)
Diese Maßnahme umfasst Anforderungen an Wiederherstellungsmaßnahmen und setzt die technischen Maßnahmen als neuen Schwerpunkt.
A.7.4: Physical Security Monitoring / Physische Sicherheitsüberwachung (NEUE Physische Maßnahme)- Abschreckung und Schutz vor unbefugtem Zugriff - Einrichtung von Überwachungsmaßnahmen, Einbruchsalarme etc.
A.8.9: Configuration Management / Konfigurationsmanagement (NEUE Technologische Maßnahme)
- korrekte Einstellung von Sicherheitsmaßnahmen sowie Sicherung der Konfiguration
A.8.12: Data Leakage Prevention / Verhinderung von Datenlecks (NEUE Technologische Maßnahme)
- Überwachung und Erkennung von Datenverlust, Offenlegung, Datenleck
A.8.10: Information Deletion / Löschung von Informationen (NEUE Technologische Maßnahme)
- Anforderungen zur Datenspeicherung in Verbindung mit DSGVO sowie GDPR.
A.8.11: Data Masking / Datenmaskierung (NEUE Technologische Maßnahme)
- Beschränkung, Anonymisierung und Pseudonymisierung von Daten
A.8.12: Monitoring activities / Überwachung von Aktivitäten (NEUE Technologische Maßnahme)
- proaktive Überwachung von abweichenden Aktivitäten
A.8.23: Web Filtering / Webfilterung (NEUE Technologische Maßnahme)
- Ausfilterung von gefährlichen Webseiten
A.8.28: Secure Coding / Sicheres Coding (NEUE Technologische Maßnahme)
- Sichere Kodierung ohne Schwachstellen oder Anfälligkeiten für Angriffe
WICHTIGE Informationen zur Umstellung auf die neue Revision der ISO 27001:
Hiermit möchten wir Ihnen einigen wichtigen Informationen in Zusammenhang mit der Umstellung auf die neue ISO/IEC 27001:2022 anbieten:
In einem ersten Schritt werden (voraussichtlich ab dem 01.05.2023) durch die DAkkS Umstellungsbegutachtungen für den Geltungsbereich ISO/IEC 27001:2022 für alle akkreditierten Zertifizierungsstellen durchgeführt. Die Umstellung der Akkreditierungen sollte laut dem Umstellungsplan von DAkkS bis zum 31.10.2023 abgeschlossen werden. So dass es voraussichtlich ab dem 01.11.2023 mit der Auditierung der Zertifikatsinhaber zur Umstellung auf die ISO/IEC 27001:2022 durch die Zertifizierungsstelle begonnen werden kann.
Übergangsfrist
Die Übergangsfrist für die neue ISO/IEC 27001:2022 beträgt 3 Jahre und endet somit am 31.10.2025. Somit müssen alle bestehenden Zertifikate nach DIN EN ISO/ IEC 27001:2017 bis zum 31. Oktober 2025 umgestellt worden sein, da sie ansonsten ihre Gültigkeit nach diesem Datum verlieren.
Zertifikate, die im Rahmen einer Erst- oder Re-Zertifizierung nach DIN EN ISO/ IEC 27001:2017 nach Veröffentlichung der neuen Revision ausgestellt werden, erhalten entsprechend eine verkürzte Gültigkeit bis zum 31.10.2025.
Vorgehensweise zur Umstellung:
- die Umstellung auf die ISO/IEC 27001:2022 kann in Verbindung mit einem Überwachungsaudit, Re-Zertifizierungsaudit oder durch ein separates Sonderaudit durchgeführt werden.
- die Umstellung auf die neue Revision der ISO 27001 umfasst nicht nur eine Dokumentensichtung. Es sollen insbesondere die technologischen Sicherheitsmaßnahmen/ Controls auditiert werden
Die Umstellung muss mindestens Folgendes umfassen, ist aber nicht darauf beschränkt (bzw. Sie müssten im Vorfeld des Umstellungs-/Übergangsaudits mindestens Folgendes vorbereitet/erarbeitet haben):
- eine GAP-Analyse von ISO/IEC 27001:2022 sowie die Notwendigkeit von Änderungen an Ihrem ISMS
- die Aktualisierung der Erklärung zur Anwendbarkeit/ Statement of Applicability (SoA)
- die Aktualisierung des Risikobehandlungsplans
- die Implementierung und Wirksamkeit der neuen oder geänderten Sicherheitsmaßnahmen/ Controls, die von Ihnen gewählt wurden.
Zusätzlicher Aufwand für die Umstellung auf die ISO/IEC 27001:2022
Die Umstellungsregeln sehen bei der Umstellung auf die neue Revision im Rahmen einer Re-Zertifizierung vor, eine Vor-Ort-Aufwanderhöhung um 10%, jedoch mindestens 0,5 PT (=Personentage) vor Ort. Wenn die Umstellung im Rahmen einer Überwachung stattfindet, dann beträgt die Vor-Ort-Aufwanderhöhung 20%, jedoch mindestens 0,5 PT (=Personentage) vor Ort.
Vor diesem Hintergrund und unter Berücksichtigung Ihren Fortschritt bei der Umsetzung der Umstellungsmaßnahmen, wäre es wichtig, dass wir gemeinsam einen geeigneten Umstellungszeitpunkt suchen und finden. Setzen Sie sich zeitnah mit uns in Verbindung. Wir stehen Ihnen unterstützend zur Seite.
Ihre Vorteile einer ISO 27001 - Zertifizierung auf einen Blick:
- Minimierung von IT-Risiken, möglichen Schäden und Folgekosten
- Wettbewerbsvorteile durch einen anerkannten Standard
- Steigerung des Vertrauens und der Transparenz gegenüber Partnern und Kunden
- Sicherstellung der Erfüllung international anerkannter Anforderungen
- Systematisches Aufdecken von Schwachstellen
- Optimierung Ihrer Kosten durch transparente Strukturen
- Sicherheit als integraler Bestandteil der Geschäftsprozesse
- Durch systematisches Risiko-Management bessere Kontrolle von IT-Risiken
IT-Sicherheitskatalog - der Countdown für Strom- und Gasnetzbetreiber läuft bereits
Auf Grundlage des §11 Abs. 1a des Energiewirtschaftsgesetzes (EnWG) werden alle Strom- und Gasnetzbetreiber dazu verpflichtet, die Maßnahmen des IT-Sicherheitskatalogs der Bundesnetzagentur (BNetzA) umzusetzen. Die Einführung eines Informationssicherheits-Managementsystems (ISMS) sowie seine Zertifizierung durch eine unabhängige Zertifizierungsstelle ist Kernanforderung.
Geltungsbereich:
Der Geltungsbreich des IT-Sicherheitskatalogs erstreckt sich hier von allen zentralen und dezentralen Anwendungen, Systemen und Komponenten, die für einen sicheren Netzbetrieb erforderlich sind, bis hin zu den Telekommunikations- und elektronischen Datenverarbeitungssystemen (EDV-Systemen) im Netz. Diese selbst sind zwar nicht direkt Teil der Netzsteuerung deren Ausfall könnte allerdings die Netzbetriebssicherheit gefährden.
Die ÖHMI EuroCert GmbH® bietet seit Januar 2017 die Zertifizierung gemäß dem IT-Sicherheitskatalog an. Damit gehört die ÖHMI EuroCert® GmbH zu den ersten Zertifizierungsstellen, die Strom- und Gasnetzbetreiber gemäß IT-Sicherheitskatalog §11 Abs. 1a EnWG zertifizieren dürfen.
Handeln Sie rechtzeitig und sichern Sie jetzt schon Ihre ISO 27001-Zertifizierung gemäß dem IT-Sicherheitskatalog!
Themenflyer der ÖHMI EuroCert®: "Informationssicherheitsmanagement"