Mit­te Sep­tem­ber 2023 hat SEC4YOU Advan­ced IT-Audit Ser­vices GmbH zwei Kun­den erfolg­reich durch die ISO 27001:2022 Zer­ti­fi­zie­rung beglei­ten durf­ten. Vie­len Dank an die bei­den Prüf­dienst­leis­ter CIS — Cer­ti­fi­ca­ti­on & Infor­ma­ti­on Secu­ri­ty Ser­vices GmbH und TÜV AUSTRIA für die kom­pe­ten­te und wert­schät­zen­de Auditierung.

Bei dem einen Kun­den han­delt es sich um einen Finanz­dienst­leis­ter in Wien betreut von Man­fred Scholz, beim ande­ren Kun­den um ein IT-Bera­tungs­un­ter­neh­men in Tirol mit Soft­ware­ent­wick­lung betreut durch Andre­as Schus­ter.

Neben der Umstel­lung der Annex A Con­trols A.5 bis A.18 auf die neue Struk­tur A.5 bis A.8 haben unse­re Kun­den ihre inter­nen und exter­nen Pro­zes­se in der Scope Defi­ni­ti­on und bei der Risi­ko­be­wer­tung berücksichtigt.

Änderungen der ISO 27001:2022

Ände­run­gen in der 27001:2022

Gene­rell gilt:

Die Erstel­lung der Infor­ma­ti­ons­si­cher­heits-Richt­li­ni­en auf Basis der ISO 27001:2022 Con­trols ist nur eine Teil­auf­ga­be. Den Prü­fern geht es dar­um, dass alle Anfor­de­run­gen imple­men­tiert sind und die Wirk­sam­keit regel­mä­ßig im Zuge des ISMS Betriebs über­prüft und bewer­tet werden.

Drei Neben­ab­wei­chun­gen bei den zwei Zertifizierungsaudits

In den 27001:2022 Audits gab es in Sum­me drei Neben­ab­wei­chun­gen, auch „unter­ge­ord­ne­te Nicht­kon­for­mi­tä­ten“ genannt. Soll­ten sol­che Neben­ab­wei­chun­gen fest­ge­stellt wer­den, erhält das Unter­neh­men das ISO 27001:2022 Zer­ti­fi­kat, jedoch müs­sen die Abwei­chun­gen in einer vom Prü­fer fest­ge­leg­ten Frist ver­bes­sert wer­den, spä­tes­tens jedoch beim nächs­ten Überwachungsaudit.

Im Fol­gen­den möch­ten wir die Abwei­chun­gen beschrei­ben, damit wei­te­re Unter­neh­men sich bei Ihren Zer­ti­fi­zie­run­gen bes­ser vor­be­rei­ten können.

Abwei­chung #1: Kapi­tel 7.2 a) Qualifikation

Der CISO eines Unter­neh­mens hat­te kei­nen Nach­weis zu einer ISO 27001 Schu­lung, son­dern hat sich die Kennt­nis­se zur Füh­rung eines ISMS über ein Fach­buch und im Dia­log mit unse­ren Info­Sec Bera­te­rIn­nen ange­eig­net. Neben der Bestel­lungs­ur­kun­de des CIS­Os gibt es für wei­te­re Schlüs­sel­kräf­te kei­ne Stel­len­be­schrei­bun­gen, wodurch die Funk­ti­on der Sicher­heits­or­ga­ni­sa­ti­on nicht aus­rei­chend ist.

Die SEC4YOU Empfehlungen:

  • Pla­nen Sie früh­zei­tig eine ISO 27001 Aus­bin­dung z.B. die Schu­lung ISO 27001 Foun­da­ti­on oder Secu­ri­ty Offi­cer nach ISO 27001.
  • Regeln Sie die Ver­ant­wort­lich­kei­ten der Schlüs­sel­kräf­te im ISMS in den Dienst­ver­trä­gen oder bes­ser in doku­men­tier­ten Stellenbeschreibungen.

Abwei­chung #2: Anhang A, A.5.22 Über­wa­chung und Über­prü­fung von Lieferantendienstleistungen

Unse­re Kun­den nut­zen eine Rei­he von Cloud-Diens­ten, dar­un­ter auch eine Cloud-Back­up-Lösung und Micro­soft 365. Selbst­ver­ständ­lich zäh­len Cloud-Pro­vi­der auch als Lie­fe­ran­ten und die Norm schreibt vor, dass man die­se Lie­fe­ran­ten z.B. über KPIs über­wacht und bei Bedarf audi­tiert. Zu die­ser Anfor­de­rung hat­te einer der Unter­neh­men kei­ne Über­wa­chung imple­men­tiert und ver­traut ohne SLA Über­prü­fung auf sei­ne Cloud-Dienste.

Die SEC4YOU Empfehlungen:

  • Über­wa­chen Sie auch Cloud-Diens­te in Ihrem Sys­tem-Moni­to­ring oder nut­zen Sie die SLA-Reports der Anbie­ter, um die­se bezüg­lich ihrer SLA zu überwachen.
  • Defi­nie­ren Sie für sich selbst KPIs und erhe­ben Sie die­se zumin­dest quartalsweise.
  • Für beson­ders rele­van­te Lie­fe­ran­ten pla­nen Sie Audits in Ihrem Audit­pro­gramm ein.

Abwei­chung 3: Anhang A, A.5.29 Über­prü­fen und Bewer­ten der Auf­recht­erhal­tung der Informationssicherheit

Bei die­ser Anfor­de­rung geht es um die Not­fall­pla­nung und Not­fall­übun­gen. Unse­re Kun­den haben im Zuge der ISMS Ein­füh­rung ein IT-Not­fall­hand­buch erstellt in dem wie wich­tigs­ten Risi­ko­sze­na­ri­en wie Aus­fall der Micro­soft 365 Cloud, Büro­aus­fall, Inter­net­aus­fall, Ran­som­wa­re berück­sich­tigt sind. Jedoch hat einer der Unter­neh­men noch kei­ne Not­fall­übung durch­ge­führt, weder einen Plan-Review, noch eine Simu­la­ti­on eines Risi­ko­sze­na­ri­os noch eine Res­to­re-Übung, was zu einer Abwei­chung geführt hat.

Die SEC4YOU Empfehlungen:

  • Pla­nen Sie im letz­ten Drit­tel der ISMS Ein­füh­rung unbe­dingt eine Not­fall­übung ein. Im opti­ma­len Fall einen Plan-Review, bei dem das IT-Not­fall­hand­buch im Not­fall­team bespro­chen wird und anschlie­ßend die Simu­la­ti­on eines wahr­schein­li­chen Sze­na­ri­os, z.B. eine Ransomware-Attacke.
  • Pla­nen Sie im Audit Pro­gramm für die 3 Jah­re meh­re­re Not­fall­übun­gen für alle iden­ti­fi­zier­ten Risi­ko­sze­na­ri­en ein, bei z.B. 6 Sze­na­ri­en sind das 2 Not­fall­übun­gen pro Jahr.
  • Simu­la­tio­nen von Sze­na­ri­en kön­nen oft in weni­gen Stun­den durch­ge­führt wer­den und hel­fen unglaub­lich im Fal­le eines ech­ten Vorfalls.

Wir hof­fen, Ihnen bei Ihren eige­nen ISMS Über­le­gun­gen und der Vor­be­rei­tung auf eine ISO 27001:2022 Zer­ti­fi­zie­rung gehol­fen zu haben!