Im Februar 2022 ist die dritte Version des ISO 27002 “Information security, cybersecurity and privacy protection — Information security controls” erschienen. Diese aktualisierte Version ersetzt die Vorgängerversion aus dem Jahr 2013. ISO 27002 ist die Guidance zur Umsetzung der Anforderungen aus dem ISO 27001 und damit selbst kein Zertifizierungsstandard. Die Zertifizierung erfolgt auf Basis des ISO 27001. Die Anforderungen im ISO 27002 sind daher auch als Soll-Anforderungen beschrieben. In der neuen Version hat sich der Titel geändert (alter Titel: “Information technology — Security techniques — Code of practice for information security controls”), die Struktur der Controls wurde geändert, indem zum Beispiel den einzelnen Controls Attribute zugeordnet wurden und Controls wurden zusammengelegt, die Beschreibungen aktualisiert und Controls gelöscht.

Diese Änderungen werden in die Aktualisierung des ISO 27001 Eingang finden und für zukünftige Zertifizierungen nach ISO 27001 verpflichtend werden.

Hier soll ausschließlich auf die Änderungen der Anforderungen des Standards an das Business Continuity Management (BCM) eingegangen werden. Im ISO 27001:2013 sind die Anforderungen an das BCM in Annex A.17 “Informationssicherheitsaspekte beim Business Continuity Management” enthalten: Die Organisation hat die Anforderungen an die Informationssicherheit und zur Aufrechterhaltung des Informationssicherheitsmanagements bei widrigen Umständen (Bsp. Krisen und Katastrophen) zu bestimmen, Maßnahmen zur Aufrechterhaltung der Informationssicherheit umzusetzen und diese zu überprüfen und bewerten.

Diese Anforderungen sind leider unpräzise und auslegungsbedürftig formuliert. Dies führt dazu, dass Auditoren in Zertifizierungsaudits für die Informationssicherheit zu ganz unterschiedlichen Interpretationen der konkreten Anforderungen an das BCM kommen, die für die Zertifizierung zu erfüllen sind.

Der aktualisierte ISO-Standard 27002:2022 hat diese Unschärfe nun behoben und beschreibt die Anforderungen in Kapitel 5 “Organizational controls” in den beiden Controls 5.29 “Information security during disruption” und 5.30 ICT readiness for business continuity”. Im nächsten Update des ISO 27001 werden diese Anforderungen voraussichtlich enthalten sein.

Das erste Control greift die Anforderungen an die Sicherstellung der Informationssicherheit in einem angemessenen Umfang bei Geschäftsunterbrechungen aus dem ISO 27001:2013 auf. Bei einer Geschäftsunterbrechung sollen die Anforderungen an die Sicherheitsziele der Informationssicherheit auf Basis der Erkenntnisse aus der Business Impact Analyse und dem Risk Assessment angemessen berücksichtigt werden.

Das Control 5.30 “ICT readiness for business continuity” definiert die Anforderungen an das Business Continuity Management für die Informationsssicherheit wesentlich konkreter. Das Control beinhaltet die Anforderungen an die Verfügbarkeit der ICT auf Basis der Ergebnisse der Business Impact Analyse (BIA). Die BIA soll eine Schadensfolgeabschätzung über Zeitintervalle für Impact-Kategorien beinhalten um die Priorität von Prozessen zu bestimmen (RTO). Zudem können Anforderungen an die Performance, Kapazität und Daten (RPO) von ICT-Ressourcen definiert werden. Die BIA soll zudem die Anforderungen an die Ressourcen kritischer Geschäftsprozesse identifizieren. Zu diesen Ressourcen zählen auch ICT-Ressourcen. Auf Basis der Ergebnisse der BIA sollen für die ICT-Ressourcen Notfallstrategien mit Notfalloptionen vor während und nach Unterbrechungen definiert werden. Auf Basis dieser Strategien sollen Notfallpläne entwickelt, implementiert und getestet werden.

Die Organisation soll

• eine adäquate Organisatiuonsstruktur zur Bewältigung von Geschäftsuntebrechungen implementieren,
• über ICT-Notfallpläne verfügen, die regelmäßig getestet werden und vom Management abgenommen wurden,
• über ICT-Pläne verfügen, die Performance- und Kapazitätsspezifikationen zur Einhaltung der Anforderungen aus der BIA sowie RTOs und RPOs beinhalten.

Die Beschreibungen der Anforderungen im ISO 27001:2022 an das Business Continuity Management sind insbesondere im Control 5.30 wesentlich detaillierter beschrieben als im aktuellen ISO 27001. Es ist zwar kein vollumfängliches Business Continuity Management System nach ISO 22301 gefordert, doch eine Business Impact Analyse als Grundlage für ICT-Notfallplanungen wird bei der Übernahme der Controls in den aktualisierten ISO 27001 dann zur zwingenden Voraussetzung für eine Zertifizierung.