ISO/IEC 27001 / ISO 27002

Die ISO/IEC 27001:2005 ist eine internationale Norm, die auf dem britischen Standard BS 7799-2:2002 basiert und erstmals am 15. Oktober 2005 veröffentlicht wurde. Sie definiert die Anforderungen für die Entwicklung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines dokumentierten Informationssicherheits-Managementsystems, das die IT-Risiken in der gesamten Organisation berücksichtigt. Ein spezifisches Kriterium darin ist das Business Continuity Management gemäß Abschnitt A.14.

  • Including information security in the business continuity management process
  • Business continuity and risk assessment
  • Developing and implementing continuity plans including information security
  • Business continuity planning framework
  • Testing, maintaining and re-assessing business continuity plans

Um den genannten Anforderungen gerecht zu werden, sind konkrete „Kontrollen“ festgelegt. Ein Beispiel hierfür ist das Schwachstellenmanagement gemäß der ISO 27001. Schwachstellen sind weit verbreitet, wobei der Mensch oft als die größte Schwachstelle gilt. In Abschnitt 12.6 wird insbesondere auf technische Schwachstellen abgezielt. Das Risiko besteht darin, dass Schwachstellen ausgenutzt werden könnten, um unbefugten Zugriff auf die Informationswerte der Organisation zu erlangen (Kersten, H./Reuter, J./Schröder, K.-W. 2011, S. 247).

Gemäß den Vorgaben von A.13.1.2 der ISO 27001 müssen alle Mitarbeiter, Auftragnehmer und externe Nutzer von Informationssystemen und -dienstleistungen dazu verpflichtet werden, sämtliche erkannten oder vermuteten Sicherheitsschwachstellen in den Systemen und Dienstleistungen zu erfassen und zu melden. In Kapitel A.14 der ISO 27001 wird die Geschäftskontinuität behandelt. Der Bereich Business Continuity Management (BCM) gemäß dieser Vorschrift zielt auf eine ganzheitliche Betrachtung der Geschäftsprozesse ab. Es geht darum:

  • um die Unterbrechung oder unerlaubte Verzögerung von Geschäftsprozessen zu vermeiden,
  • Um die Auswirkungen von personellen und technischen Ausfällen oder Naturkatastrophen auf die Geschäftsprozesse zu minimieren.
  • Um sicherzustellen, dass die Geschäftsprozesse nach Unterbrechungen so schnell wie möglich fortgeführt werden.

Des Weiteren behandelt die Norm Aspekte wie Prävention, Reaktion, Business Impact Analysis, Kritikalität, Wiederanlaufklasse und Vererbung, welche im Anhang genauer erläutert werden (Kersten, H./Reuter, J./Schröder, K.-W. 2011, 252ff).

Die ISO/IEC 27002:2005 behandelt elf Überwachungsbereiche, die in 39 Hauptkategorien, genannt Kontrollziele, unterteilt sind. Diese werden weiterhin in 133 Sicherheitsmaßnahmen unterteilt, um die Erreichung der übergeordneten Kontrollziele zu fördern.

  • Information Security Policy (Weisungen und Richtlinien zur Informationssicherheit
  • Organziation of information security (Organisatorische Sicherheitsmaßnahmen und Managementprozess)
  • Asset management (Verantwortung und Klassifizierung von Informationswerten)
  • Human ressources security (Personelle Sicherheit) Physical and Enviromental Security (Physische Sicherheit und öffentliche Versorgungsdienste)
  • Communication and Operations Management (Netzwerk- und Betriebssicherheit)
  • Access Control (Zugriffskontrolle)
  • Information systems acquisition, development and maintenance (Systementwicklung und Wartung) (ISO 2011)
  • Information security incident management (Umgang mit Sicherheitsvorfällen)
  • Business Continuity Management (Notfallvorsorgeplanung)

Ein wichtiger Unterschied zwischen den beiden Normen besteht darin, dass eine Zertifizierung gemäß ISO/IEC 27002 nicht vorgesehen ist. Wenn ein Sicherheitsmanagementsystem im Unternehmen implementiert werden soll, kann dies nur durch eine Überprüfung gemäß ISO/IEC 27001 erreicht werden. Compliance beinhaltet die Einhaltung rechtlicher Vorgaben, Sicherheitsrichtlinien und die Durchführung von Audits.

Im Herbst 2013 wurden die ISO 27001 und die ISO 27002 aktualisiert. Es liegt bereits ein Entwurf für beide Anpassungen vor. Neben neuen Inhalten und neuen Nummern für die Anforderungen umfasst der Entwurf nun lediglich neun Seiten mit Anforderungen an ein ISMS. Die „controls“ sind weiterhin im Annex A aufgeführt und beziehen sich auf die neue ISO 27002. Die erste Anforderung in der überarbeiteten ISO 27001 bezieht sich auf den Enterprise Risk Management Standard ISO 31000. Im Gegensatz zur vorherigen Version, in der die Behandlungsoptionen für Risiken als Akzeptieren, Verringern, Verteilen oder Vermeiden definiert waren, werden diese spezifischen Behandlungsoptionen nicht mehr in der ISO 27001:2013 gefordert. Unternehmen haben jedoch die Möglichkeit, sie weiterhin zu verwenden. Das PDCA-Modell, das in der ISO 22301 verwendet wird, wird in der aktualisierten ISO jetzt als „continual improvement“ bezeichnet, was eine Parallele zum Kapitel 10.2 der ISO 22301 darstellt.