ISO / IEC 27001: 2013 – Informationstechnologie – Sicherheitstechniken – Informationssicherheits-Managementsysteme – Anforderungen (zweite Ausgabe)

< Vorheriger Standard ^ Eine Ebene höher ^ Nächster Standard >

Einführung

ISO / IEC 27001 spezifiziert formal ein Informationssicherheits-Managementsystem, eine Governance-Vereinbarung, die eine strukturierte Reihe von Aktivitäten umfasst, mit denen Informationsrisiken verwaltet werden können (im Standard als „Informationssicherheitsrisiken“ bezeichnet). .

Das ISMS ist ein übergreifendes Framework, mit dem das Management die Informationsrisiken der Organisation identifiziert, bewertet und behandelt (behandelt). Das ISMS stellt sicher, dass die Sicherheitsvorkehrungen genau abgestimmt sind, um mit den Änderungen der Sicherheitsbedrohungen, Sicherheitslücken und geschäftlichen Auswirkungen Schritt zu halten – ein wichtiger Aspekt in einem solch dynamischen Bereich und ein wesentlicher Vorteil des flexiblen risikogesteuerten Ansatzes von ISO27k im Vergleich zu: sagen wir, PCI-DSS.

Der Standard deckt alle Arten von Organisationen (z. B. Handelsunternehmen, Regierungsbehörden, gemeinnützige Organisationen) aller Größen (von Kleinstunternehmen bis hin zu großen multinationalen Unternehmen) in allen Branchen (z. B. Einzelhandel, Bankwesen, Verteidigung, Gesundheitswesen) ab , Bildung und Regierung). Dies ist eindeutig ein sehr umfassender Auftrag.

ISO / IEC 27001 schreibt formell keine spezifischen Kontrollen der Informationssicherheit vor, da die erforderlichen Kontrollen in den zahlreichen Organisationen, die den Standard anwenden, erheblich variieren. Die Informationssicherheitskontrollen von ISO / IEC 27002 sind in Anhang A zu ISO / IEC 27001 ähnlich wie in einem Menü zusammengefasst. Unternehmen, die ISO / IEC 27001 anwenden, können frei wählen, welche spezifischen Informationssicherheitskontrollen für ihre jeweiligen Informationsrisiken gelten. Sie greifen auf die im Menü aufgeführten zurück und ergänzen sie möglicherweise durch andere À-la-carte-Optionen (manchmal auch als erweiterte Kontrollsätze bezeichnet). Wie bei ISO / IEC 27002 besteht der Schlüssel zur Auswahl der anwendbaren Kontrollen in einer umfassenden Bewertung der Informationsrisiken der Organisation, die ein wesentlicher Bestandteil des ISMS ist.

Darüber hinaus kann das Management entscheiden, das Teilen zu vermeiden und zu teilen oder Informationsrisiken akzeptieren, anstatt sie durch Kontrollen zu mindern – eine Risikobehandlungsentscheidung innerhalb des Risikomanagementprozesses.

Verlauf

ISO / IEC 27001 ist abgeleitet von BS 7799 Teil 2, erstmals 1999 als solches vom British Standards Institute veröffentlicht.

BS 7799 Teil 2 wurde 2002 überarbeitet und enthält explizit den Deming-Stil Plan-Do-Check-Act-Zyklus.

BS 7799 Teil 2 wurde 2005 als erste Ausgabe von ISO / IEC 27001 mit verschiedenen Änderungen übernommen, um den neuen Depotbanken Rechnung zu tragen .

Die zweite Ausgabe von ISO / IEC 27001 wurde 2013 veröffentlicht und umfassend überarbeitet, um sie an die anderen Standards für ISO-Managementsysteme anzupassen. PDCA ist nicht mehr explizit, aber das Konzept der kontinuierlichen Verfeinerung und systematischen Verbesserung bleibt sicher bestehen.

Struktur der Norm

ISO / IEC 27001: 2013 enthält die folgenden Abschnitte:

    0 Einführung – Die Norm beschreibt einen Prozess zur systematischen Verwaltung Informationsrisiken.

    1 Geltungsbereich – Hier werden allgemeine ISMS-Anforderungen festgelegt, die für Organisationen jeglicher Art, Größe oder Art geeignet sind.

    2 Normative Verweise – nur ISO / IEC 27000 wird als unbedingt erforderlich angesehen Benutzer von 27001: Die verbleibenden ISO27k-Standards sind optional.

    3 Begriffe und Definitionen – siehe ISO / IEC 27000.

    4 Kontext der Organisation – Verständnis des organisatorischen Kontexts, der Anforderungen und Erwartungen von „interessierten Parteien“ und Festlegung des Geltungsbereichs des ISMS. In Abschnitt 4.4 heißt es ganz klar: „Die Organisation muss das ISMS einrichten, implementieren, warten und kontinuierlich verbessern.“

    5 Führung – Das Top-Management muss Führung und Engagement für das ISMS nachweisen, Richtlinien festlegen und Informationssicherheit zuweisen Rollen, Verantwortlichkeiten und Befugnisse.

    6 Planung – beschreibt den Prozess zur Identifizierung, Analyse und Planung der Behandlung von Informationsrisiken und zur Klärung der Ziele der Informationssicherheit.

    7 Unterstützung – angemessen, Es müssen kompetente Ressourcen zugewiesen, das Bewusstsein geschärft, die Dokumentation vorbereitet und kontrolliert werden.

    8 Betrieb – etwas detaillierter über die Bewertung und Behandlung von Informationsrisiken, das Management von Änderungen und die Dokumentation von Dingen (teilweise, damit sie von geprüft werden können) die Zertifizierungsprüfer).

    9 Leistungsbewertung – Überwachung, Messung, Analyse und Bewertung / Prüfung / Überprüfung der Informationssicherheitskontrollen, -prozesse und -managementsysteme, wobei bei Bedarf systematisch Verbesserungen vorgenommen werden.

    10 Improv ement – sich mit den Ergebnissen von Audits und Überprüfungen befassen (z. Abweichungen und Korrekturmaßnahmen), das ISMS kontinuierlich verfeinern.

    Anhang A Referenzkontrollziele und -kontrollen – kaum mehr als eine Liste der Titel der Kontrollabschnitte in ISO / IEC 27002. Der Anhang ist „normativ“, was bedeutet, dass von zertifizierten Organisationen erwartet wird, dass sie ihn verwenden Der Hauptteil sagt jedoch, dass es ihm freisteht, davon abzuweichen oder es zu ergänzen, um auf seine besonderen Informationsrisiken einzugehen. Anhang A allein ist schwer zu interpretieren. Weitere nützliche Informationen zu den Kontrollen, einschließlich Implementierungsanweisungen, finden Sie in ISO / IEC 27002.

    Bibliographie – Verweist den Leser auf fünf verwandte Normen sowie auf Teil 1 der ISO / IEC-Richtlinien, um weitere Informationen zu erhalten. Darüber hinaus wird ISO / IEC 27000 im Hauptteil der Norm als normative (dh wesentliche) Norm identifiziert, und es gibt mehrere Verweise auf ISO 31000 zum Risikomanagement.

Obligatorische Anforderungen für die Zertifizierung

ISO / IEC 27001 ist eine formalisierte Spezifikation für ein ISMS mit zwei unterschiedlichen Zwecken:

  1. Sie legt das Design für ein ISMS fest und beschreibt die wichtigen Teile auf einem relativ hohen Niveau Stufe;
  2. Es kann (optional) als Grundlage für die formelle Konformitätsbewertung durch akkreditierte Zertifizierungsprüfer verwendet werden, um eine konforme Organisation zu zertifizieren.

Die folgende obligatorische Dokumentation ist für die Zertifizierung ausdrücklich erforderlich:

  1. ISMS-Geltungsbereich (gemäß Abschnitt 4.3)
  2. Informationssicherheitsrichtlinie (Abschnitt 5.2)
  3. Bewertungsprozess für Informationsrisiken ( Abschnitt 6.1.2)
  4. Verfahren zur Behandlung von Informationsrisiken (Abschnitt 6.1.3)
  5. Ziele der Informationssicherheit (Abschnitt 6.2)
  6. Nachweis der Kompetenz des Personen, die in der Informationssicherheit tätig sind (Abschnitt 7.2)
  7. Andere ISMS-bezogene Dokumente, die von der Organisation als notwendig erachtet werden (Abschnitt 7.5.1b)
  8. Dokumente zur Betriebsplanung und -kontrolle (Abschnitt 8.1)
  9. Die Ergebnisse der Risikobewertungen (Abschnitt 8.2)
  10. Die Entscheidungen zur Risikobehandlung (Abschnitt 8.3)
  11. Nachweis der Überwachung und Messung der Informationssicherheit (Abschnitt 9.1) )
  12. Das interne Revisionsprogramm des ISMS und die Ergebnisse der durchgeführten Audits (Abschnitt 9.2)
  13. Nachweis der Überprüfung des ISMS durch das Top-Management (Abschnitt 9.3)
  14. Nachweis von festgestellten Mängeln und auftretenden Korrekturmaßnahmen (Abschnitt 10.1)
  15. Verschiedene andere: Anhang A erwähnt, spezifiziert jedoch keine vollständige Dokumentation, einschließlich der Regeln für die akzeptable Nutzung von Vermögenswerten, Richtlinien für die Zugangskontrolle, Betriebsverfahren, Vertraulichkeit oder Nicht-Konformität – Offenlegungsvereinbarungen, Grundsätze für sicheres System-Engineering, Richtlinien zur Informationssicherheit für Lieferantenbeziehungen, informieren Verfahren zur Reaktion auf Sicherheitsvorfälle, relevante Gesetze, Vorschriften und vertragliche Verpflichtungen sowie die damit verbundenen Compliance-Verfahren und Verfahren zur Kontinuität der Informationssicherheit. Obwohl Anhang A normativ ist, müssen Organisationen Anhang A nicht offiziell annehmen und einhalten: Sie können andere Strukturen und Ansätze zur Behandlung ihrer Informationsrisiken verwenden.

Zertifizierungsprüfer werden dies mit ziemlicher Sicherheit tun Überprüfen Sie, ob diese fünfzehn Arten von Dokumentationen (a) vorhanden und (b) zweckmäßig sind.

Der Standard legt nicht genau fest, wie die Dokumentation aussehen soll, aber Abschnitt 7.5.2 behandelt Aspekte wie Titel, Autoren, Formate, Medien, Überprüfung und Genehmigung, während 7.5.3 die Dokumentenkontrolle betrifft Dies impliziert einen ziemlich formalen Ansatz im ISO 9000-Stil. Elektronische Dokumentationen (wie Intranetseiten) sind genauso gut wie Papierdokumente, und zwar in dem Sinne besser, dass sie einfacher zu kontrollieren und zu aktualisieren sind.

ISMS-Umfang und Erklärung zur Anwendbarkeit (SoA)

Der Standard soll die Implementierung eines unternehmensweiten ISMS vorantreiben und sicherstellen, dass alle Teile des Unternehmens davon profitieren, indem sie ihre Informationsrisiken auf angemessene und systematisch verwaltete Weise angehen Unternehmen können ihr ISMS so weit oder so eng zusammenfassen, wie sie möchten – in der Tat ist das Scoping eine entscheidende Entscheidung für die Geschäftsleitung (Abschnitt 4.3). Ein dokumentierter ISMS-Bereich ist eine der obligatorischen Anforderungen für die Zertifizierung.

Obwohl die Erklärung zur Anwendbarkeit nicht explizit definiert ist, ist sie eine obligatorische Anforderung in Abschnitt 6.1.3. SoA bezieht sich auf die Ergebnisse der Bewertung des Informationsrisikos und insbesondere auf die Entscheidungen zur Behandlung dieser Risiken. Die SoA kann beispielsweise die Form einer Matrix haben, die verschiedene Arten von Informationsrisiken auf einer Achse und Risikobehandlungsoptionen auf der anderen Achse identifiziert und zeigt, wie die Risiken im Körper zu behandeln sind und wer möglicherweise dafür verantwortlich ist. Es verweist normalerweise auf die relevanten Kontrollen aus ISO / IEC 27002, aber die Organisation verwendet möglicherweise ein völlig anderes Framework wie NIST SP800-53, den ISF-Standard, BMIS und / oder COBIT oder einen benutzerdefinierten Ansatz.Die Ziele und Kontrollen der Informationssicherheitskontrolle aus ISO / IEC 27002 sind in Anhang A als Checkliste aufgeführt, um zu vermeiden, dass notwendige Kontrollen übersehen werden: Sie sind nicht erforderlich.

Der ISMS-Geltungsbereich und die SoA sind von entscheidender Bedeutung, wenn ein Dritter beabsichtigt, sich auf das ISO / IEC 27001-Konformitätszertifikat eines Unternehmens zu verlassen. Wenn der ISO / IEC 27001-Geltungsbereich einer Organisation beispielsweise nur „Acme Ltd. Department X“ umfasst, sagt das zugehörige Zertifikat absolut nichts über den Stand der Informationssicherheit in „Acme Ltd. Department Y“ oder tatsächlich „Acme Ltd.“ aus. Wenn das Management aus irgendeinem Grund beschließt, Malware-Risiken zu akzeptieren, ohne herkömmliche Antiviren-Kontrollen zu implementieren, können die Zertifizierungsprüfer eine solch kühne Behauptung in Frage stellen. Vorausgesetzt, die damit verbundenen Analysen und Entscheidungen waren fundiert, wäre dies allein keine Rechtfertigung dafür Verweigern Sie die Zertifizierung der Organisation, da Antiviren-Kontrollen tatsächlich nicht obligatorisch sind.

Metriken

Tatsächlich (ohne den Begriff „Metriken“ tatsächlich zu verwenden) Die Ausgabe 2013 des Standards erfordert die Verwendung von Metriken zur Leistung und Effektivität der ISMS- und Informationssicherheitskontrollen des Unternehmens. In Abschnitt 9, „Leistungsbewertung“, muss die Organisation geeignete Sicherheitsmetriken ermitteln und implementieren. Es werden jedoch nur allgemeine Anforderungen gestellt.

ISO / IEC 27004-Angebote Ratschläge, was und wie zu messen ist, um die Anforderungen zu erfüllen und die Leistung des ISMS zu bewerten – ein äußerst vernünftiger Ansatz, der dem in PRAGMATIC Security Metrics beschriebenen nicht unähnlich ist.

Zertifizierung

Die zertifizierte Einhaltung von ISO / IEC 27001 durch eine akkreditierte und angesehene Zertifizierungsstelle ist völlig optional, wird jedoch zunehmend von Lieferanten und Geschäftspartnern von Organisationen gefordert, die (zu Recht!) um die Sicherheit von ihre Informationen und über Informationsrisiken in der gesamten Lieferkette / im gesamten Liefernetz.

Die Zertifizierung bietet eine Reihe von Vorteilen, die über die bloße Einhaltung hinausgehen, ähnlich wie eine Das Zertifikat der ISO 9000-Serie sagt mehr aus n nur „Wir sind eine Qualitätsorganisation“. Eine unabhängige Bewertung bringt notwendigerweise eine gewisse Genauigkeit und Formalität in den Implementierungsprozess (was Verbesserungen der Informationssicherheit und aller Vorteile, die sich aus der Risikominderung ergeben, impliziert) und erfordert ausnahmslos die Zustimmung der Geschäftsleitung (was zumindest im Hinblick auf das Sicherheitsbewusstsein von Vorteil ist!).

Das Zertifikat verfügt über Marketingpotenzial und Markenwert, was zeigt, dass das Unternehmen das Informationssicherheitsmanagement ernst nimmt. Wie oben erwähnt, hängt der Sicherheitswert des Zertifikats jedoch stark vom ISMS-Umfang und der SoA ab. Mit anderen Worten, vertrauen Sie nicht zu sehr auf das ISO / IEC 27001-Konformitätszertifikat eines Unternehmens, wenn Sie stark von dessen Informationen abhängig sind Sicherheit. Ebenso wie die zertifizierte PCI-DSS-Konformität nicht „Wir garantieren die Sicherung von Kreditkartendaten und anderen persönlichen Informationen“ bedeutet, ist die zertifizierte ISO / IEC 27001-Konformität ein positives Zeichen, aber keine gusseiserne Garantie für die Informationssicherheit eines Unternehmens Es heißt „Wir haben ein konformes ISMS“, nicht „Wir sind sicher“, eine subtile, aber wichtige Unterscheidung.

Der Status der Norm

ISO / IEC 27001 war zuerst veröffentlicht im Jahr 2005.

Der Standard wurde 2013 komplett neu geschrieben und veröffentlicht. Dies war weit mehr als nur eine Optimierung des Inhalts der Ausgabe 2005, da die ISO auf wesentlichen Änderungen bestand, um diesen Standard an andere Standards für Managementsysteme anzupassen.

ISO / IEC 27002 wurde gleichzeitig umfassend überarbeitet und neu herausgegeben, daher wurde auch Anhang A zu ISO / IEC 27001 vollständig aktualisiert: Weitere Informationen finden Sie auf der Seite ISO / IEC 27002.

In einer technischen Berichtigung von 2014 wurde klargestellt, dass Informationen immerhin von Vorteil sind. Golly.

Eine zweite technische Berichtigung endum im Jahr 2015 stellte klar, dass Organisationen offiziell verpflichtet sind, den Implementierungsstatus ihrer Informationssicherheitskontrollen in der SoA zu ermitteln.

Eine vorgeschlagene dritte technische Berichtigung hat den Hai übersprungen: SC 27 widerstand dem Drang, die veröffentlichten weiter zu optimieren Standard unnötig mit Änderungen, die hätten vorgeschlagen werden müssen, als es im Entwurf war, und möglicherweise ohnehin nicht akzeptiert wurden. Obwohl nicht angesprochen, ist das Anliegen berechtigt: Der Standard verwechselt tatsächlich das Informationsrisiko mit den Risiken im Zusammenhang mit dem Managementsystem. Es hätte das letztere ansprechen sollen, aber stattdessen das erstere übernehmen sollen.

In einem Studienzeitraum wurden Wert und Zweck von Anhang A in Bezug auf die SoA untersucht, und es wurde der Schluss gezogen, dass Anhang A eine nützliche Verbindung zu ISO / IEC 27002 darstellt. Der Wortlaut des Hauptteils sollte jedoch klarstellen, dass Anhang A ist völlig optional: Unternehmen können alle Kontrollen (oder andere Risikobehandlungen) anwenden, die sie zur Behandlung ihrer Informationsrisiken für geeignet halten, vorausgesetzt, der Prozess der Auswahl, Implementierung, Verwaltung, Überwachung und Aufrechterhaltung der Risikobehandlungen erfüllt die Hauptanforderungen des Gremiums Mit anderen Worten, der gesamte Prozess fällt unter das ISMS.

Die nächste Version von ISO / IEC 27001 wird notwendigerweise wesentliche Änderungen enthalten, die die bevorstehende Aktualisierung von ISO / IEC 27002 widerspiegeln (was bedeutet, dass Anhang A erneut umgeschrieben wird) plus Einige Änderungen des Hauptteils ändern sich aufgrund laufender Überarbeitungen von Anhang SL …

Persönliche Kommentare

Anhang SL (früher bekannt als „Draft Guide 83“, manchmal „Annex L“). ) Anhang 2 gibt den Text und die Struktur des Kesselschilds an, die für gemeinsam sind Alle Normen für ISO- und ISO / IEC-Managementsysteme, die Qualitätssicherung, Umweltschutz usw. abdecken. Die Idee ist, dass Manager, die mit einem der Managementsysteme vertraut sind, die Grundprinzipien verstehen, die allen anderen zugrunde liegen. Konzepte wie Zertifizierung, Richtlinien, Nichtkonformität, Dokumentenkontrolle, interne Audits und Managementüberprüfungen sind allen Managementsystemstandards gemeinsam, und tatsächlich können die Prozesse innerhalb der Organisation weitgehend standardisiert werden.

Bei der nächsten Aktualisierung in diesem Jahr wird Anhang SL Anhang 2 wahrscheinlich (falls genehmigt) Folgendes enthalten:

  • Definieren Sie das Risiko als „Auswirkung der Unsicherheit“ (Löschen „der Ziele“ aus der in der aktuellen Version verwendeten Definition von ISO / IEC 27000) mit 4 Noten (wobei die letzten 2 von 6 Noten in der aktuellen Definition weggelassen werden). Ob diese Vereinfachung hilft, schadet oder keine Auswirkungen auf ISO27k hat, bleibt abzuwarten.
  • Ersetzen Sie „Ergebnisse“ durch „Ergebnisse“ – eine Änderung, die hauptsächlich zur Vereinfachung der Übersetzung vorgenommen wurde.
  • Fügen Sie „Planung von Änderungen“ hinzu, dh Änderungen am Managementsystem müssen durchgeführt werden eine geplante Art und Weise .
  • Ersetzen Sie „ausgelagert“ durch „extern bereitgestellt“, um Outsourcing, Auftragsvergabe und konventionellen Einkauf zu umfassen.
  • Geben Sie die allgemeinen Anforderungen für interne Audits (9.2.1) und für das interne Auditprogramm (9.2.2).
  • Geben Sie die allgemeinen Anforderungen für Management Reviews (9.3.1) sowie für deren Inputs (9.3.2) und Outputs (9.3.3) separat an.
  • Betonen Sie erneut die Notwendigkeit einer proaktiven Verbesserung des Managementsystems zusätzlich zu reaktiven Reaktionen auf Mängel.
  • Beauftragen Sie verschiedene andere Wortlautänderungen mit allen ISO-Managementsystemstandards, einschließlich (vermutlich) der nächsten Veröffentlichung von ISO / IEC 27001.

Die Verwirrung von SC 27 über die beabsichtigte Bedeutung von „Information Asset“ bleibt bestehen bei: der Entscheidung, das Defi fallen zu lassen Die Definition von „Information Asset“ aus ISO / IEC 27000 anstelle eines echten Bottom-Outs könnte ein taktischer Fehler gewesen sein. Die Rückkehr zum Begriff „Vermögenswert“, der sehr allgemein als etwas Wertvolles definiert wird, führt zu Problemen in ISO27k, wenn der Begriff durch seine wörtliche und explizite Definition ersetzt wird. Ein Baustein ist ein Vermögenswert, während ein gemauertes Smartphone eine Verbindlichkeit ist. „Wert“ ist ein nebulöses Konzept. Es ist fair zu fragen: „Von Wert für wen?“ auch, da die Organisation als Verwalter für einige Informationen fungiert, die anderen gehören, einschließlich persönlicher und geschützter Informationen, die einen angemessenen Schutz erfordern. Sollte dies vom ISMS abgedeckt werden oder nicht? Dies ist eine unordentliche, unklare und letztendlich unbefriedigende Situation für eine internationaler Standard.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.