Argana Consulting GmbH 
Lasst uns lieber darüber reden, wie sich die Probleme lösen lassen.

Die ISO/IEC 27000er Reihe

Die ISO/IEC 27000-Reihe ist eine Sammlung von Normen und Best Practices für das Informationssicherheits-Managementsystem ISMS, die von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) herausgegeben wird. Ziel dieser Normen ist es, Organisationen bei der Einführung und Aufrechterhaltung eines effektiven Informationssicherheits-Managementsystems (ISMS) zu unterstützen.

Die ISO/IEC 27000 Serie umfasst eine Reihe von Normen, die sich auf verschiedene Aspekte des Informationssicherheitsmanagements beziehen. Die wichtigste Norm dieser Reihe ist ISO/IEC 27001, die die Anforderungen an ein ISMS festlegt und einen Rahmen für dessen Umsetzung bietet. Weitere Normen dieser Reihe sind z.B. ISO/IEC 27002, die Best Practices für Informationssicherheitskontrollen bietet, und ISO/IEC 27005, die eine Methodik für das Risikomanagement von Informationssicherheitssystemen bereitstellt.


Durch die Anwendung der ISO/IEC 27000er Reihe können Organisationen ihre Informationssicherheitspraktiken verbessern und das Vertrauen von Kunden, Partnern und anderen Interessengruppen in den Schutz vertraulicher Informationen erhöhen.


Die ISO/IEC 27000 Familie (Auszug)
 
ISO/IEC 27000 bezeichnet die gesamte Normenreihe 27000 und ist kein einzelnes spezifisches Dokument. Diese Normenreihe besteht aus normativen und informativen Normen.

Der normative Standard ist ein Leitfaden mit verbindlichen Vorgaben. Ob und welche Teile eines normativen Standards für eine Organisation verbindlich sind, hängt von der Anwendbarkeit und dem Anwendungsbereich ab.

Der informative Standard ist ein Leitfaden mit unverbindlichen, beschreibenden oder erläuternden Informationen und hat oft empfehlenden oder erläuternden Charakter.




Aktuelle Version ISO/IEC 27001:2022
 
Die aktuelle Version ISO/IEC 27001:2022 ist mehr als nur ein Facelift, sie hat im wahrsten Sinne des Wortes einen neuen Anstrich bekommen und definiert allgemeine Sicherheitsmaßnahmen nach dem Stand der Technik. Die bisherigen Maßnahmen wurden in vier Kategorien gruppiert und wo sinnvoll zusammengefasst.

Die aktualisierte Norm führt 37 «neue Begriffe» ein, die teilweise aus anderen Normen übernommen wurden (z. B. aus ISO/IEC 9000, 15489, 22301, 27301,27035, 27050, 29100, 29134, 30000, 31000). Erstmals werden auch verschiedene Abkürzungen aufgeführt, insgesamt 33, was die Ausgabe 2022 noch umfangreicher macht.

Sie berücksichtigt neue Trends und Veränderungen der Gefahrenlage. Aber nicht nur die neuen Maßnahmen wurden umgesetzt, auch bei den bekannten Maßnahmen sind neue oder erweiterte Anforderungen hinzugekommen. Insgesamt sind 11 der insgesamt 93 Maßnahmen neu hinzugekommen. Insbesondere die Prävention, Erkennung und Reaktion auf Cyber-Angriffe sowie der Datenschutz rücken stärker in den Fokus.


Aufbau der Norm ISO/IEC 27001:2022

  • ISO/IEC 27001:2013 113 Maßnahmen
  • ISO/IEC 27001:2022 93 Maßnahmen in Anhang A

 

Während die Vorgängerversion 14 Kapitel enthielt, sind es nun nur noch vier:
  • Organisatorische Kontrollen/Maßnahmen (37 Maßnahmen)
  • Personenbezogene Maßnahmen (8 Maßnahmen)
  • Physische Maßnahmen (14 Maßnahmen)
  • Technologische Kontrollen/Maßnahmen (34 Maßnahmen)

 

Darüber hinaus werden die Ziele der Maßnahmen explizit definiert und zusätzliche Attribute aufgeführt, die weitere Informationen, z.B. zur Wirkungsweise der Maßnahme, liefern.



Neue Maßnahmen - Anhang A
 
Der Anhang A der neuen Version ISO/IEC 27001:2022 umfasst nun 93 Maßnahmen, von denen die folgenden 11 Maßnahmen neu eingeführt wurden.
  • Organisation Control A.5.7 Bedrohungsintelligenz
  • Organisation Control A.5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
  • Organisation Control A.5.30 IKT-Bereitschaft für Business Continuity
  • Physical Control A.7.4 Physische Sicherheitsüberwachung
  • Technological Control A.8.9 Konfigurationsmanagement
  • Technological Control A.8.10 Löschung von Informationen
  • Technological Control A.8.11 Datenmaskierung
  • Technological Control A.8.12 Verhinderung von Datenlecks
  • Technological Control A.8.16 Überwachung von Aktivitäten
  • Technological Control A.8.23 Webfilterung
  • Technological Control A.8.28 Sicheres Coding

 

ISO International Organization for Standardization
https://www.iso.org/home.html