ISO/IEC Neue Version, neue Konzepte. Quo Vadis ISMS?

Transkript

1 ISO/IEC Neue Version, neue Konzepte Quo Vadis ISMS?

2 2/18 Ursachen und Beweggründe Regulärer Zyklus für Überarbeitung von ISO/IEC 27001:2005 Zusätzlich neues Projekt MSS (Managment System Standards) ISO/TMB beauftragt ISO/TMB/JTCG - MSS TMB Technical Management Board ISO/TMB/JTCG MSS Joint Technical Coordination Group Management System Standards Seit 2007/8, letzte Sitzung Dezember 2011 in London Somit aufgelöst! Problem der Überarbeitung und Interpretation der Ergebnisse Markt verlangt nach Unified Management System Gab bereits ein entsprechende, gescheitertes Projekt TMB ist politisch gespalten JTCG-Output verpflichtend oder freiwillig? Regeln zur Anwendung der Struktur und des identischen Texts fraglich

3 3/18 Änderungen - JTCG Neue Struktur, identischer Text und Begriffsbestimmungen Verzicht auf PDCA (Demming-Cycle) Problem mit Risikomanagement theoretisch nur EIN Durchlauf! Verzicht auf Preventive Action Vom Markt nie korrekt verstanden! Unterschied Correction vs. Corrective Action Preventive Control vs. Preventive Action Verzicht auf Records documented evidence Keine Sequenze in den Anforderungen! Requirement Standard definiert WAS getan werden muss, nicht WIE! ISO 9001 zu Kunden -orientiert ersetzt durch interested parties

4 4/18 Adaption durch SC27 Relativ spät die Tragweite realisiert Selbständigkeit der Gestaltung (vermutlich) zukünftig eingeschränkt Einziger bereits etablierter Standard Drei Sitzungen mit Feedback von JCTG an SC27 (2010 Melaka), 2010 Berlin, 2011Singapore, 2011 Nairobi Positive Entscheidung in Singapur 2011 für die Übernahme der Inhalte von JTCG Ergebnis (bis jetzt): ISMS relevante Themen nur noch in Kapitel 8 Restliche Inhalte ident mit JTCG Output Aktuelle 2 nd CD noch mit Output von Wien 2011 Vermutlich Austausch mit Ergebnissen von London 2011 in der Sitzung in Stockholm (April 2012)

5 5/18 Kapitel - Übersicht NEU ISO/IEC 27001:201? 1. Scope 2. Normative reference 3. Terms and definitions 4. Context of the organization 5. Leadership 6. Planning 7. Support 8. Operation 9. Performance Evaluation 10. Improvement ALT ISO/IEC 27001: Scope 2. Normative reference 3. Terms and definitions 4. Information security management system 5. Management responsibility 6. Internal ISMS audits 7. Management review of the ISMS 8. ISMS improvements

6 6/18 Kapitel Details I 1. Scope 2. Normative reference 3. Terms and definitions Keine strukturellen Änderungen!

7 7/18 Kapitel Details II 4. Context of the organization 4.1 Understanding the organization and its context 4.2 Understanding the needs and expectations of interested parties 4.3 Determining the scope of the XXX management system 4.4 IS management system

8 8/18 Kapitel Details III 5. Leadership 5.1 Leadership and commitment 5.2 Policy 5.3 Organizational roles, responsibilities and authorities

9 9/18 Kapitel Details IV 6. Planning 6.1 Actions to address risks and opportunities 6.2 IS objectives and planning to achieve them

10 10/18 Kapitel Details V 7. Support 7.1 Resources 7.2 Competence 7.3 Awareness 7.4 Communication 7.5 Documented information

11 11/18 Kapitel Details VI 8. Operation 8.1 Operational planning and control 8.2 Information security risk assessment 8.3 Information security risk treatment

12 12/18 Kapitel Details VII 9. Performance Evaluation 9.1 Monitoring, measurement, analysis and evaluation 9.2 Internal Audit 9.3 Management review

13 13/18 Neue Anforderungen Eigentlich keine neuen Anforderungen! Fokusierung auf das eigentliche Management System! Besonders im IT/IS-Bereich von Bedeutung Andere Aufteilung der Inhalte Aufgabe alter Konzepte (PDCA, records, preventive action) Andere Begrifflichkeiten (IS policy vs. ISMS policy) Geringere Bedeutung der technischen Controls! Control-Auswahl ist nur eine von mehreren Risikobehandlungs- Optionen! (Konform mit ISO 31000)

14 14/18 Risiken Geringe Marktakzeptanz aufgrund ungenauerer Anforderungen Kein Leitfaden! Unverständnis der Anforderungen Auch die TC/PC/SC haben die Inhalte des JTCG-Outputs unzureichend verstanden! Reduzierte Verbreitung Wieder etwas Neues, wozu brauchen wir das?! Abnahme von zertifizierten Unternehmen Mehr Freiheiten für Unternehmen bei der Umsetzung Kein Mehrwehr für die eigentliche Informationssicherheit Da kann ich ja machen was ich will! Risikobewertung Andere MSS verwenden nicht den JTCG-Output!

15 15/18 Chancen Einfachere Integration mit anderen Management Systemen Dokumentations-Anforderungen Interne Audits Management Reviews Mehr Freiheiten für Unternehmen bei der Umsetzung Controls von Annex A sind (waren) nicht verpflichtend! Map vs. Select/De-Select Kein IT-Sicherheits-Standard mehr! Betonung des Management Systems für Informationssicherheit Document control impliziert (versteckt) ein ISMS für alle MS!

16 16/18 Weitere Schritte ISO/TMB-Sitzung im Februar Entscheidung über Art des Outputs von JTCG Übernahme des neuen Texts von SC27 während der AG-Sitzung in Stockholm im April 2012 Vermutlich DIS-Abstimmung im Herbst 2012 Bei 100%-Zustimmung keine FDIS mehr nötig Basierend auf neuer ISO/IEC-Directive Vermutlich FDIS-Abstimmung im Frühling 2013 Somit 2013/2014 neue Version von ISO/IEC 27001

17 17/18 Zertifizierung Nach Veröffentlichung 2 Jahre Umstellungsfrist Änderungen von Dokumenten-Bezeichnungen ISMS policy IS policy Objectives Scope of ISMS Records documented evidence Stärkere Betonung der Management-Teile

18 18/18 Zusammenfassung Dinge sind noch in Bewegung Neue Konzepte Neue bzw. geänderte Begriffsbestimmungen Verbesserung der Anforderungen Trennung von Management System und Controls Höhere Gestaltungsfreiheit für Anwender bei gleichzeitiger Konformität mit den Anforderungen Vereinheitlichung mit anderen MSS