Die neue Version des internationalen Standards für Informationssicherheit ISO/IEC 27001:2013 lässt mit interessanten Neuerungen aufhorchen. Herfried Geyer, Auditor der Zertifizierungsorganisation CIS, im Gespräch mit der COMPUTERWELT. [...]
Herfried Geyer, ISO-27001-Auditor und Trainer der akkreditierten Zertifizierungsorganisation CIS, über den ISO/IEC 27001:2013-Standard, der Ende September veröffentlicht wurde.
Computerwelt: Welche Vorteile können Anwender von der neuen Version erwarten?
Herfried Geyer: Die revolutionäre Neuerung ist, dass ISO/IEC 27001:2013 eine homogene Struktur der Hauptkapitel aufweist, die in naher Zukunft vollständig kompatibel mit jenen anderer Management-Standards sein wird. Damit ist die Informationssicherheit nahtlos integrierbar mit Notfallmanagement nach 22301, Qualitätsmanagement nach ISO 9001 oder ISO 20000 für IT-Service-Management. In der Praxis bringt dies bis zu 30 Prozent Aufwandsersparnis durch Kombi-Audits oder -Reviews und einheitliche Dokumentation.
Wann wird diese Strategie umgesetzt?
Die Normungsgremien verfolgen derzeit eine Rundum-Homogenisierung sämtlicher ISO-Standards, die den Betrieb von Managementsystemen ermöglichen. Ziel ist ihre vollständige Integrierbarkeit. Das war zwar auch bisher möglich, allerdings war die Sprache nicht vereinheitlicht. Jetzt erhalten all diese Normen einen einheitlichen Kerntext mit definierten Schlüsselbegriffen, wobei ISO 27001 eine der ersten novellierten Versionen ist. Bis 2015 wird mit Spannung die neue ISO 9001 erwartet, die häufig als Basis-System dient. Durch Kombi-Audits und -Reviews wird bis zu 30 Prozent Aufwandsersparnis möglich.
Gibt es inhaltliche Verbesserungen?
Das berühmte Modell zur Prozessverbesserung „Plan-Do-Check-Act“ wurde in seiner simplen Form abgelöst, von einem erweiterten Modell zur Implementierung und Optimierung der Informationssicherheit. Es umfasst nun die Stufen Planung, Support und Ressourcen-Evaluierung, Betrieb, Überprüfen, Verbessern. In der Praxis ist dies ein deutlicher Schritt in Richtung höherer Verantwortung bei Outsourcing oder Nutzung von Cloud Services. Das Einfordern der Ressourcen-Evaluierung bedeutet für die Unternehmen, dass sie sich wirklich damit beschäftigen müssen, welche „Zulieferer“ man für die IS-Implementierung und den IS-Betrieb braucht – ein oft unterschätzter Security-Faktor. Ein weiterer Punkt ist die Straffung der Kontrollziele. Statt 133 gibt es nun um 20 weniger, dafür aber umso schärfer konturiert.
Stichwort Kosteneffizienz.
Da bringt das Kapitel Performance Evaluation sinnvolle Inputs. Mit der neuen ISO 27001 sollen Unternehmen ihre Security-Zielsetzungen jährlich hinterfragen. Ein brisanter Punkt. Denn wenn man gemäß der Norm feststellt, dass eine zuvor eingeführte Sicherheitsmaßnahme bei näherer Betrachtung zwar gut funktioniert, aber angesichts der evaluierten Risiken kaum Mehrwert bringt, hat der Verantwortliche ein Problem. Positiv ist es daher, dass die Norm nun fordert, geplante Security-Maßnahmen von Beginn an auf ihre Zielsetzung hin zu evaluieren und die Gültigkeit der Ziele regelmäßig zu überprüfen. So kann diese Normforderung als Instrument für Kosteneffizienz gesehen werden.
Das Riskmanagement wurde ebenfalls neu definiert?
Ja, und die Unternehmen ersparen sich damit einiges an Aufwand – bei gleich gutem Ergebnis. Bisher baute ISO 27001 das Risikomanagement auf Vermögenswerten auf. Das heißt, es wurden IS-relevante Assets wie Datenbanken, Hardware, Mitarbeiter und ähnliche Risikoträger auf ihr Gefahrenpotenzial hin betrachtet, was aufwendig war. Die neue Version der ISO 27001 setzt auf den rein risikobasierten Riskmanagement-Ansatz aus der ISO 31010 für Enterprise RM. Effizient definiert man die Baseline-Security-Anforderungen als breitgefassten gemeinsamen Nenner. Darauf aufbauend werden nur mehr Risikoträger mit höheren Sicherheitsanforderungen für eine detaillierte Risikoanalyse herangezogen. Damit erreicht man ein gutes Sicherheitsniveau mit weniger Aufwand – was auch ein Vorteil hinsichtlich Zertifizierung ist.
Das Gespräch führte Wolfgang Franz.
Be the first to comment