Aktualisierungen der ISO 27031 und ISO 27032

Abgelegt in: Standards 24. Juli 2023Matthias Hämmerle 1 Antwort

Christian Zänker bringt uns in seinem Gastbeitrag auf den neuesten Stand zu der Entwicklung der ISO-Normen ISO 27031 und ISO 27032. Besonders freut mich, dass es mit dem ISO 27031 weitergeht, nach langer Zeit. Ich empfehle diesen Standard immer in Ergänzung zum ISO 22301 für den ITSCM-Part. Es war eine Zeit fraglich ob und wie es mit diesme Standard weitergeht.

Schon seit geraumer Zeit – gefühlt ne Ewigkeit – hat die Community auf Neuigkeiten zur ISO 27031 und ISO 27032 gewartet. Nun ganz still und leise reibt man sich die Augen und sieht, dass die neue Version der ISO/IEC 27032 Cybersecurity – Guidelines for Internet security am 30.06.2023 veröffentlicht wurde. Auf den ersten Blick scheint es, dass sich das lange Warten gelohnt hat. Die Vorgänger Version war von 2012 und 12 Jahre erscheinen einem mittlerweile wie eine kleine Ewigkeit. Aufbau und Gliederung sind zumindest viel ansprechender als die der Fassung von 2012:

Man ist gespannt, vor allem auf den Annex A mit den Cross-references zu den Controls des Annex A der 27001 und die Guidelines zu den Controls for Internet Security.

Die Norm ist bei den bekannten Quellen zu beziehen, auch wenn die Kosten kaum mehr nachvollziehbar sind.

BSi Group BP 150,-
https://knowledge.bsigroup.com/products/cybersecurity-guidelines-for-internet-security/tracked-changes

ISO CHF 145,-
https://www.iso.org/obp/ui/en/#iso:std:iso-iec:27032:ed-2:v1:en

IEC CHF 145
https://webstore.iec.ch/publication/86758

DIN / Beuth € 160,20
https://www.beuth.de/de/norm/iso-iec-27032/370355730

VDE Verlag € 140,-
https://www.vde-verlag.de/iec-normen/251975/iso-iec-27032-2023.html

Eine Nachfrage bei der ISO brachte gestern eine weitere erfreuliche Nachricht. Die Überarbeitung der ISO 27031:2011 Guidelines for Information and Communication Technology, Readiness for Business Continuity (ehemals ITSCM) macht Fortschritte. Sie befindet sich in Stage 40,60. Das Veröffentlichungsdatum wurde mit Februar 2024 angegeben.

Anforderungen des ISO 27002:2022 an das Business Continuity Management

Abgelegt in: Standards 28. Februar 2022Matthias Hämmerle 1 Antwort

Im Februar 2022 ist die dritte Version des ISO 27002 “Information security, cybersecurity and privacy protection — Information security controls” erschienen. Diese aktualisierte Version ersetzt die Vorgängerversion aus dem Jahr 2013. ISO 27002 ist die Guidance zur Umsetzung der Anforderungen aus dem ISO 27001 und damit selbst kein Zertifizierungsstandard. Die Zertifizierung erfolgt auf Basis des ISO 27001. Die Anforderungen im ISO 27002 sind daher auch als Soll-Anforderungen beschrieben. In der neuen Version hat sich der Titel geändert (alter Titel: “Information technology — Security techniques — Code of practice for information security controls”), die Struktur der Controls wurde geändert, indem zum Beispiel den einzelnen Controls Attribute zugeordnet wurden und Controls wurden zusammengelegt, die Beschreibungen aktualisiert und Controls gelöscht.

Diese Änderungen werden in die Aktualisierung des ISO 27001 Eingang finden und für zukünftige Zertifizierungen nach ISO 27001 verpflichtend werden.

Hier soll ausschließlich auf die Änderungen der Anforderungen des Standards an das Business Continuity Management (BCM) eingegangen werden. Im ISO 27001:2013 sind die Anforderungen an das BCM in Annex A.17 “Informationssicherheitsaspekte beim Business Continuity Management” enthalten: Die Organisation hat die Anforderungen an die Informationssicherheit und zur Aufrechterhaltung des Informationssicherheitsmanagements bei widrigen Umständen (Bsp. Krisen und Katastrophen) zu bestimmen, Maßnahmen zur Aufrechterhaltung der Informationssicherheit umzusetzen und diese zu überprüfen und bewerten.

Diese Anforderungen sind leider unpräzise und auslegungsbedürftig formuliert. Dies führt dazu, dass Auditoren in Zertifizierungsaudits für die Informationssicherheit zu ganz unterschiedlichen Interpretationen der konkreten Anforderungen an das BCM kommen, die für die Zertifizierung zu erfüllen sind.

Der aktualisierte ISO-Standard 27002:2022 hat diese Unschärfe nun behoben und beschreibt die Anforderungen in Kapitel 5 “Organizational controls” in den beiden Controls 5.29 “Information security during disruption” und 5.30 ICT readiness for business continuity”. Im nächsten Update des ISO 27001 werden diese Anforderungen voraussichtlich enthalten sein.

Das erste Control greift die Anforderungen an die Sicherstellung der Informationssicherheit in einem angemessenen Umfang bei Geschäftsunterbrechungen aus dem ISO 27001:2013 auf. Bei einer Geschäftsunterbrechung sollen die Anforderungen an die Sicherheitsziele der Informationssicherheit auf Basis der Erkenntnisse aus der Business Impact Analyse und dem Risk Assessment angemessen berücksichtigt werden.

Das Control 5.30 “ICT readiness for business continuity” definiert die Anforderungen an das Business Continuity Management für die Informationsssicherheit wesentlich konkreter. Das Control beinhaltet die Anforderungen an die Verfügbarkeit der ICT auf Basis der Ergebnisse der Business Impact Analyse (BIA). Die BIA soll eine Schadensfolgeabschätzung über Zeitintervalle für Impact-Kategorien beinhalten um die Priorität von Prozessen zu bestimmen (RTO). Zudem können Anforderungen an die Performance, Kapazität und Daten (RPO) von ICT-Ressourcen definiert werden. Die BIA soll zudem die Anforderungen an die Ressourcen kritischer Geschäftsprozesse identifizieren. Zu diesen Ressourcen zählen auch ICT-Ressourcen. Auf Basis der Ergebnisse der BIA sollen für die ICT-Ressourcen Notfallstrategien mit Notfalloptionen vor während und nach Unterbrechungen definiert werden. Auf Basis dieser Strategien sollen Notfallpläne entwickelt, implementiert und getestet werden.

Die Organisation soll

eine adäquate Organisatiuonsstruktur zur Bewältigung von Geschäftsuntebrechungen implementieren,
über ICT-Notfallpläne verfügen, die regelmäßig getestet werden und vom Management abgenommen wurden,
über ICT-Pläne verfügen, die Performance- und Kapazitätsspezifikationen zur Einhaltung der Anforderungen aus der BIA sowie RTOs und RPOs beinhalten.

Die Beschreibungen der Anforderungen im ISO 27001:2022 an das Business Continuity Management sind insbesondere im Control 5.30 wesentlich detaillierter beschrieben als im aktuellen ISO 27001. Es ist zwar kein vollumfängliches Business Continuity Management System nach ISO 22301 gefordert, doch eine Business Impact Analyse als Grundlage für ICT-Notfallplanungen wird bei der Übernahme der Controls in den aktualisierten ISO 27001 dann zur zwingenden Voraussetzung für eine Zertifizierung.

Zwei ISO-Standards für das Business Continuity Management in neuer Version erschienen

Abgelegt in: Standards 6. Dezember 2021Matthias Hämmerle 1 Antwort

Das für Resilence und BCM verantwortliche Technical Committee ISO/TC 292 Security and resilience hat zum Jahresende zwei Business Continuity Standards im Rahmen des regulären Aktualisierungsprozesses aktualisiert.

Der ISO-Standard ISO/TS 22317 – “Guidelines for business impact analysis” beschreibt die Vorgehensweise zur Durchführung einer Business Impact Analyse. Die Version 2021 ersetzt die ältere Version von 2015 und bringt die folgenden Änderungen (englischer Originaltext des Standards) mit sich:

the document has been updated to align with ISO 22301:2019;
the document structure has been updated to improve the description of the business impact analysis (BIA) process;
more focus has been placed on the BIA process and less on the business continuity programme;
BIA and the BIA process have been clearly differentiated;
BIA process roles have been consolidated to BIA leader and activity owners;
the section “Initial BIA considerations” has been removed and the guidance redistributed;
the section “Strategy selection” has been removed as it is part of ISO/TS 22331;
the annex on terminology has been removed;
the annex on BIA information collection methods has been enhanced;
a new annex with examples for performing a BIA has been included.

Der Standard beschreibt einen stringenten Prozess für die Durchführung von Business Impact Analysen. Im Annex sind Beispiele für Fragen zur Impact- und Ressourcenanalyse in der BIA aufgeführt. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beim zweiten aktualisierten Standard handelt es sich um den ISO/TS 22318 – “Guidelines for supply chain continuity management” ebenfalls aus dem Jahr 2015.

Die Änderungen in der aktualisierten Fassung sind (englischer Originaltext des Standards):

the document has been updated to reflect changes made to ISO 22301:2019;
the upstream and downstream relationships within the supply chain have been clarified;
the title has been updated;
“key points” have been deleted as their concepts are included in the clauses;
new diagrams have been inserted;
annexes have been inserted.

Der ISO-Standard beschreibt eine Vorgehensweise zur Analyse von Lieferketten, Strategien für das SSCM sowie das Management von Supply Chain-Unterbrechungen. Eine Zertifizierung nach diesem Standard ist nicht möglich.

Beide ISO-Standards sind bei der ISO selbst und über den Beuth-Verlag käuflich zu erwerben.

Umfangreiche Sammlung an Dokumentvorlagen zum BSI 200-4 CD

Abgelegt in:

BSI 200-4
- Standards
- Templates

23. November 2021Matthias Hämmerle 1 Antwort

Der völlig neu überarbeitete Standard BSI 200-4 Business Continuity Management befindet sich auf dem Weg zur zweiten Community Draft-Fassung, in der die vorliegenden Rückmeldungen durch das BSI eingearbeitet werden.

Als Ergänzung zum Standard gibt es eine umfangreiche Vorlagensammlung, die jetzt auch vollständig öffentlich zur Verfügung steht. Die Vorlagen unterstützen den gesamten BCM-Lifecycle in allen Phasen über die Erstellung der Leitlinie, Business Impact Analyse, Notfallplanung, Tests und Übungen sowie Outsourcing. Neu hinzugekommen ist ein BIA-Auswertungsbogen, der noch als Testversion zur Verfügung gestellt wird. Die Vorlagen sind offen und Office-kompatibel, so dass sie an die individuellen Bedürfnisse auch angepasst werden können. Die Vorlagensammlung wird vom BSI auf der Webseite 200-4 Hilfsmittel zur Verfügung gestellt

DIN EN ISO 22300:2021 in deutsch erschienen

Abgelegt in: Standards 30. August 2021Matthias Hämmerle 1 Antwort

Der ISO-Standard ISO 22300:2021-06 “Sicherheit und Resilienz – Begriffe” ist in deutscher Sprache erschienen. Der Standard enthält das Glossar der Begrifflichkeiten für Sicherheit und Resilienz für diese Normenreihe.

Der ISO-Standard kann beim Beuth-Verlag bezogen werden.

Erfahrungsgemäß sind die Übersetzungen in die deutsche Sprache nicht immer sehr gut gelungen und die englischen Begriffe prägnanter und aussagekräftiger. Ob dies auch für diesen Standard zutrifft, kann ich allerdings noch nicht beurteilen.

Themenseite Sicherheit und Resilienz beim Beuth Verlag

Abgelegt in: Standards 11. Februar 2021Matthias Hämmerle 1 Antwort

Der Beuth Verlag, Herausgeber nationaler und internationaler Normen, hat die Normen für BCM und Resilienz auf einer neuen Themenseite gebündelt.

Auf dieser Themenseite stellt DIN nach wie vor Normen für BCM, Resilienz und Risikomanagement kostenfrei zur Bewältigung der Corona-Krise zum Download zur Verfügung.

Community Draft des BSI 200-4 Business Continuity Management veröffentlicht

Abgelegt in:

BSI 200-4
- BSI 200-4
- Standards

20. Januar 2021Matthias Hämmerle 1 Antwort

Am 19.01.2021 wurde im Rahmen des BSI Grundschutztages der Community Draft des BSI 200-4 Business Continuity Management veröffentlicht. Der Standard wird den in die Tage gekommenen BSI 100-4 ablösen. Neben der Umbenennung von Notfallmanagment in Business Continuity Mnagement gibt es inhaltlich zahlreiche Änderungen gegenüber dem bestehenden Standard. Der CD wird voraussichtlich sechs Monate öffentlich kommentiert werden können, bevor die finale Version gegen Ende 2021 zu erwarten ist. Kommentare können per Mail oder über die sozialen Medien an das BSI erfolgen.

Hier der Link zur Presseveröffentlichung des BSI und zum Community Draft des BSI 200-4.

ISO-Standards für Business Continuity Management frei erhältlich

Abgelegt in: Standards 15. April 2020Matthias Hämmerle Antworten

Als Reaktion auf die Coronavirus-Pandemie hat die ISO zahlreiche ISO-Standards vorübergehend zum kostenfreien Download verfügbar gemacht.

Hierzu zählen auch die BCM-Standards ISO 22301:2019, ISO 22395:2018, ISO 22320:2018, ISO 22316:2017 sowie der Risikomanagement-Standard ISO 31000:2018.

Wer diese Standards noch nicht lizenziert hat, für den ist dies eine gute Gelegenheit viel Geld zu sparen.

Die ISO-Standards sind auf der COVID-19-Seite der ISO zum Download verfügbar.

Die neue ISO 22301:2019 – chapeau!

Abgelegt in: ISO 22301 18. November 2019Matthias Hämmerle 1 Antwort

Die ISO 22301:2019 ist kürzlich veröffentlicht worden. Hat das Update den BCM-Standard verbessert oder nur verändert? Christian Zänker hat sich die finale Version zur Brust genommen und er ist bei Standards nicht schnell zu begeistern. Doch die Arbeit der erfahrenen Experten am Update scheint sich gelohnt zu haben. Weiterlesen…

BSI-Newsletter zum aktuellen Stand der Weiterentwicklung des BSI 200-4 BCM

Abgelegt in: BSI 100-4 16. April 2019Matthias Hämmerle 1 Antwort

Das Bundesamt für Sicherheit in der Informationstechnik hat im aktuellen BCM-Newsletter über den aktuellen Stand der Weiterentwicklung des BSI 200-4 informiert. Zudem können die Leser über die neuen Begrifflichkeiten im Rahmen der Umbenennung von “Notfallmanagement” zu “Business Continuity Management” abstimmen. Ein erstes Glossar mit Begrifflichkeiten liegt vor.

Für die Implementierung des BCM wurde durch das BSI auf Grundlage der Workshops ein Stufenmodell erarbeitet, das über mehrere Zwischenstufen zu einem vollständigen Business Continuity Management System führen soll.

Der BCM-Newsletter kann beim BSI abonniert werden (Link zum Newsletter-Abo).

Strategisches Krisenmanagement – der Standard BSI 17091:2018

Abgelegt in:

Krisenkommunikation

27. Februar 2019Matthias Hämmerle 2 Antworten

Häufig erlebe ich, dass BCM und Krisenmanagement als eine Disziplin angesehen werden. Krisenmanagement wird dann im Rahmen von Business Continuity Management entwickelt und betrieben. Diese Sichtweise vernachlässigt die grundlegenden Unterschiede zwischen den beiden Disziplinen. Weiterlesen…

Prozesse und dokumentierte Information in der neuen ISO/DIS 22301:2019

Abgelegt in:

ISO 22301
- Standards

4. Februar 2019Matthias Hämmerle 1 Antwort

Die Tiefenanalyse des Entwurfs für den grundlegend aktualisierten BCM-Standard ISO 22301 geht in die nächste Runde. Christian Zänker, erfahrener Analyst und Trainer für Standards, hat sich dieses Mal die Prozesse und Dokumentationsanforderungen im Entwurf vor- und bis ins Detail auseinandergenommen. Auch erfahrene Anwender können hier sicherlich neue Erkenntnisse gewinnen. Weiterlesen…