Optimierter Standard, weniger Aufwand

Die neue Version des internationalen Standards für Informationssicherheit ISO/IEC 27001:2013 lässt mit interessanten Neuerungen aufhorchen. Herfried Geyer, Auditor der Zertifizierungsorganisation CIS, im Gespräch mit der COMPUTERWELT. [...]

Herfried Geyer, ISO-27001-Auditor und Trainer der akkreditierten Zertifizierungsorganisation CIS, über den ISO/IEC 27001:2013-Standard, der Ende September veröffentlicht wurde.

Computerwelt: Welche Vorteile können Anwender von der neuen Version erwarten?
Herfried Geyer:
Die revolutionäre Neuerung ist, dass ISO/IEC 27001:2013 eine homogene Struktur der Hauptkapitel aufweist, die in naher Zukunft vollständig kompatibel mit jenen anderer Management-Standards sein wird. Damit ist die Informationssicherheit nahtlos integrierbar mit Notfallmanagement nach 22301, Qualitätsmanagement nach ISO 9001 oder ISO 20000 für IT-Service-Management. In der Praxis bringt dies bis zu 30 Prozent Aufwandsersparnis durch Kombi-Audits oder -Reviews und einheitliche Dokumentation.

Wann wird diese Strategie umgesetzt?     
Die Normungsgremien verfolgen derzeit eine Rundum-Homogenisierung sämtlicher ISO-Standards, die den Betrieb von Managementsystemen ermöglichen. Ziel ist ihre vollständige Integrierbarkeit. Das war zwar auch bisher möglich, allerdings war die Sprache nicht vereinheitlicht. Jetzt erhalten all diese Normen einen einheitlichen Kerntext mit definierten Schlüsselbegriffen, wobei ISO 27001 eine der ersten novellierten Versionen ist. Bis 2015 wird mit Spannung die neue ISO 9001 erwartet, die häufig als Basis-System dient. Durch Kombi-Audits und -Reviews wird bis zu 30 Prozent Aufwandsersparnis möglich.

Gibt es inhaltliche Verbesserungen?
Das berühmte Modell zur Prozessverbesserung „Plan-Do-Check-Act“ wurde in seiner simplen Form abgelöst, von einem erweiterten Modell zur Implementierung und Optimierung der Informationssicherheit. Es umfasst nun die Stufen Planung, Support und Ressourcen-Evaluierung, Betrieb, Überprüfen, Verbessern. In der Praxis ist dies ein deutlicher Schritt in Richtung höherer Verantwortung bei Outsourcing oder Nutzung von Cloud Services. Das Einfordern der Ressourcen-Evaluierung bedeutet für die Unternehmen, dass sie sich wirklich damit beschäftigen müssen, welche „Zulieferer“ man für die IS-Implementierung und den IS-Betrieb braucht – ein oft unterschätzter Security-Faktor. Ein weiterer Punkt ist die Straffung der Kontrollziele. Statt 133 gibt es nun um 20 weniger, dafür aber umso schärfer konturiert.

Stichwort Kosteneffizienz.
Da bringt das Kapitel Performance Evaluation sinnvolle Inputs. Mit der neuen ISO 27001 sollen Unternehmen ihre Security-Zielsetzungen jährlich hinterfragen. Ein brisanter Punkt. Denn wenn man gemäß der Norm feststellt, dass eine zuvor eingeführte Sicherheitsmaßnahme bei näherer Betrachtung zwar gut funktioniert, aber angesichts der evaluierten Risiken kaum Mehrwert bringt, hat der Verantwortliche ein Problem. Positiv ist es daher, dass die Norm nun fordert, geplante Security-Maßnahmen von Beginn an auf ihre Zielsetzung hin zu evaluieren und die Gültigkeit der Ziele regelmäßig zu überprüfen. So kann diese Normforderung als Instrument für Kosteneffizienz gesehen werden.

Das Riskmanagement wurde ebenfalls neu definiert?
Ja, und die Unternehmen ersparen sich damit einiges an Aufwand – bei gleich gutem Ergebnis. Bisher baute ISO 27001 das Risikomanagement auf Vermögenswerten auf. Das heißt, es wurden IS-relevante Assets wie Datenbanken, Hardware, Mitarbeiter und ähnliche Risikoträger auf ihr Gefahrenpotenzial hin betrachtet, was aufwendig war. Die neue Version der ISO 27001 setzt auf den rein risikobasierten Riskmanagement-Ansatz aus der ISO 31010 für Enterprise RM. Effizient definiert man die Baseline-Security-Anforderungen als breitgefassten gemeinsamen Nenner. Darauf aufbauend werden nur mehr Risikoträger mit höheren Sicherheitsanforderungen für eine detaillierte Risikoanalyse herangezogen. Damit erreicht man ein gutes Sicherheitsniveau mit weniger Aufwand – was auch ein Vorteil hinsichtlich Zertifizierung ist.

Das Gespräch führte Wolfgang Franz.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*