Im Februar 2022 wurde die ISO 27002 “Information security, cybersecurity and privacy protection — Information security controls” aktualisiert und ersetzt mit der 2022er Version ihren Vorgänger aus dem Jahr 2013. Die ISO 27002 ist die Guidance zur Umsetzung der Anforderungen aus dem ISO 27001 und damit selbst kein Zertifizierungsstandard. Die Zertifizierung basiert weiterhin auf der Norm ISO 27001.
Der Titel der Norm wurde geändert (ehem: “Information technology — Security techniques — Code of practice for information security controls”), die Struktur der Controls wurde geändert, indem zum Beispiel den einzelnen Controls Attribute zugeordnet wurden und Controls wurden zusammengelegt, die Beschreibungen aktualisiert und Controls gelöscht. Diese Änderungen werden in die Aktualisierung des ISO 27001 aufgenommen und für zukünftige Zertifizierungen nach ISO 27001 verpflichtend sein.
Folgende Controls wurden ergänzt:
- Threat intelligence
- Information security for use of cloud services
- ICT Readiness for Business Continuity
- Physical security monitoring
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Monitoring activities
- Web filtering
- Secure coding
Die Struktur wurde wesentlich geändert und umfasst nun die folgenden Bereiche:
- 5. Organisatorische Kontrollen
- 6. Personelle Kontrollen
- 7. Physische Kontrollen
- 8. Technologische Kontrollen
Betrachten wir explizit die Änderungen in Bezug auf das Business Continuity Management (BCM). In der ISO 27001:2013 sind die Anforderungen an das BCM in Annex A.17 “Informationssicherheitsaspekte beim Business Continuity Management” beschrieben: „Die Organisation hat die Anforderungen an die Informationssicherheit und zur Aufrechterhaltung des Informationssicherheitsmanagements bei widrigen Umständen (Bsp. Krisen und Katastrophen) zu bestimmen, Maßnahmen zur Aufrechterhaltung der Informationssicherheit umzusetzen und diese zu überprüfen und bewerten.“
Diese vage und weitläufig interpretierbare Beschreibung wurde im nun aufgefrischten Standard 27002:2022 präzisiert: Die Anforderungen in Kapitel 5 “Organizational controls” in den beiden Controls 5.29 “Information security during disruption” und 5.30 ICT readiness for business continuity” sind nun deutlicher formuliert. Auch die Zertifizierungsnorm 27001 wird in ihrer nächsten Aktualisierung diese Kapitel enthalten.
Das erste Control greift die Anforderungen an die Sicherstellung der Informationssicherheit in einem angemessenen Umfang bei Geschäftsunterbrechungen aus dem ISO 27001:2013 auf. Bei einer Geschäftsunterbrechung sollen die Anforderungen an die Sicherheitsziele der Informationssicherheit auf Basis der Erkenntnisse aus der Business Impact Analyse und dem Risk Assessment angemessen berücksichtigt werden.
Das Control 5.30 “ICT readiness for business continuity” definiert die Anforderungen an das Business Continuity Management für die Informationsssicherheit wesentlich konkreter. Das Control beinhaltet die Anforderungen an die Verfügbarkeit Basis der Ergebnisse der Business Impact Analyse (BIA). Dabei werden zwei wesentliche Elemente des Disaster Recovery aufgegriffen. Bei der Beurteilung der Business Impact Analyse sind folgende Punkte zu beachten:
Recovery Time Objective (RTO) – Wie lange darf ein Geschäftsprozess/System ausfallen? Bei der Recovery Time Objective handelt es sich um die Zeit, die vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung der Geschäftsprozesse (Wiederherstellung von: Infrastruktur – Daten – Nacharbeitung von Daten – Wiederaufnahme der Aktivitäten) vergehen darf. Der Zeitraum kann hier von 0 Minuten (Systeme müssen sofort verfügbar sein), bis mehrere Tage (in Einzelfällen Wochen) betragen.
Recovery Point Objective (RPO) – Wie viel Datenverlust kann in Kauf genommen werden? Bei der Recovery Point Objective handelt es sich um den Zeitraum, der zwischen zwei Datensicherungen liegen darf, das heißt, wie viele Daten/Transaktionen dürfen zwischen der letzten Sicherung und dem Systemausfall höchstens verloren gehen. Wenn kein Datenverlust hinnehmbar ist, beträgt die RPO 0 Sekunden.
Auf Basis der Ergebnisse der BIA sollen für die ICT-Ressourcen Notfallstrategien mit Notfalloptionen vor während und nach Unterbrechungen definiert werden. Auf Basis dieser Strategien sollen Notfallpläne entwickelt, implementiert und getestet werden.
Dabei wird gefordert, dass die Organisation
- eine adäquate Organisationsstruktur zur Bewältigung von Geschäftsunterbrechungen implementieren,
- über ICT-Notfallpläne verfügen, die regelmäßig getestet werden und vom Management abgenommen wurden,
- über ICT-Pläne verfügen, die Performance- und Kapazitätsspezifikationen zur Einhaltung der Anforderungen aus der BIA sowie RTOs und RPOs beinhalten.
Die Beschreibungen der Anforderungen der ISO 27002:2022 an das Business Continuity Management sind insbesondere im Control 5.30 wesentlich detaillierter beschrieben als im aktuellen Stand der ISO 27001. Ein vollständiges Business Continuity Management System nach ISO 22301 wird nicht explizit gefordert, jedoch ist eine Business Impact Analyse als Grundlage für ICT-Notfallplanungen durchzuführen und wird bei der Übernahme der Controls in die aktualisierte ISO 27001 dann zur zwingenden Voraussetzung für eine Zertifizierung.