ISO 27701 - und es hört einfach nicht auf
Quelle: ISACA

ISO 27701 - und es hört einfach nicht auf


Artikel erschienen in Swiss IT Magazine 2020/09

     

Leicht belustigt aber auch angewidert lese ich den obigen Beitrag von Andreas Wisler – schon wieder eine neue ISO 27xxx-Norm. «Zuerst 1, dann 2, dann 3, dann 4 …» – unterdessen sind wir bei wohl 99 verschiedenen ISO27xxx-Normen angekommen.

Wie die von mir schon vor Jahren erstellte Grafik aufzeigt, begann die Erfolgsgeschichte von ISO27xxx mit den Shell Best Practices, aus denen mit Hilfe des Standford Research Institut die Shell Baseline Security Controls entstanden. Die genaue Geburtsstunde konnte ich nicht mehr rekonstruieren, doch habe ich in meiner Sammlung diese und alle weiteren, in der nachfolgenden Übersichtsgrafik erstellten Anleitungen, Standards und Normen. Bereits 1994 konnte ich den «Code of Practice for Information Security Management» des DTI (Department of Trade and Industry) für eines meiner ersten Beratungsprojekte einsetzen und freute mich natürlich sehr, dass daraus nur ein Jahr später der Britische Standard BS7799 entstand: eine Sammlung von damals 70 Informationssicherheits-Massnahmen, der Einhaltung man im Rahmen einer Zertifizierung von unabhängigen Auditoren bestätigen lassen konnte.
Mit BS7799 hatte man eine Sammlung von Kontrollen – es fehlte aber das eigentliche Managementsystem, mit dem man die Kontrollen risikogerecht planen, implementieren und überwachen konnte. Die Norm BS7799-2 lieferte dann das herbeigesehnte PDCA-Managementsystem. Leider wurde es bei den späteren Anpassungen zu ISO17799 resp. ISO27002 versäumt, aus der immer grösser werdenden Sammlung diejenigen Kontrollen zu eliminieren, welche in der Beschreibung des Managementsystems (heute ISO27001) bereits abgedeckt waren. 2006 kam die nächste Erweiterung in Form von BS7799-3 (heute ISO27005 resp. ISO31000): Hier wurde das Informationssicherheits-Risikomanagement detaillierter beschrieben – die entsprechenden Kontrollen wurden aber weder aus BS779-1 (die «Urversion» mit 70 Kontrollen) noch aus der BS7799-2 (dem Managementsystem) wirklich eliminiert.


Ein Weilchen blieb es noch ruhig, dann explodierte das Ganze förmlich: In kurzem Abstand kamen weitere zugehörige Normen heraus: zu Metriken, zum (externen) Zertifizierungsaudit, zu den internen ISMS-Audits, zur Prüfung von Sicherheitskontrollen, für verschiedene Branchen wie Telekom und Finanzdienstleister, für die Kombination mit ISO20000, für Governance der Informationssicherheit, … und dann mit der ISO27018 zum Thema personenbezogener Informationen in der Cloud, … dann Anwendungssicherheit, Incident Management, Business Continuity, und … und … und jetzt noch eine 27701 zum nachweisbaren Datenschutz.
Und mit jeder neuen Norm vervielfachen sich die Abstimmprobleme – auch wenn jede neue ISO27xxx-Norm behauptet, mit allen anderen ISO27xxx-Normen kompatibel zu sein, gibt es unterdessen unglaublich viele Redundanzen und teilweise auch Widersprüche. Aus dieser Optik ist es eigentlich unverständlich, warum es dermassen viele ISO27xxx-Anhänger gibt! Da ist mir das neue deutsche IT-Grundschutzkompendium des BSI als (ebenfalls?) eierlegende Wollmilchsau schon fast sympathisch – wenigstens ist dort das Ganze auf über 800 Seiten sehr gut strukturiert.

Ich habe irgendwann mit dem Zählen aufgehört – sind wir jetzt bei der Nummer 25 oder schon bei der Norm Nummer 30? Noch nicht erwähnt habe ich die zahlreichen anderen ISO-Normen, welche sich unabhängig von ISO27xxx mit verwandten Themen beschäftigen.


Da lobe ich mir doch das CISM-Berufsbild und das CISM Review Manual. Auch wenn nicht immer perfekt, ersetzt jede neue Version die frühere Version, so dass alle thematischen Erweiterungen immer wieder im Ganzen eingebettet sind. So wurde in der letzten CISM-Version von 2017 der Datenschutz wesentlich ausgebaut – aber integriert und nicht als separates und vielleicht widersprüchliches Anhängsel.
Aber halt – fast hätte ich das vergessen, was Andreas am Schluss seines Beitrages ebenfalls erwähnt: nach CISA, CISM, CGEIT und CRISC (und den «komischen» CSX-Zertifikaten) hat ISACA das neue CDPSE-Berufsbild veröffentlicht: eigenständig aber recht gut abgestimmt auf CISM (Informationssicherheit).

Wir sind derzeit daran abzuklären, wie wir neben den vier klassischen Berufsbildern auch das neue CDPSE-Berufsbild in unseren modularisierten Vertiefungskursen und Prüfungsvorbereitungskursen ­integrieren werden. Ab 2021 sollte man über das ISACA Switzerland Chapter auch die neuste Ausbildung buchen ­können. Informieren Sie sich ab Ende Jahr bei www.isaca.ch über das neue ­Berufsbild und die entsprechenden offiziellen CDPSE-Kurse des ISACA Switzerland Chapter.
P.S.
Neben dem neuen CDPSE bleiben selbstverständlich weiterhin CISA ­(Certified Information Systems Auditor), CISM (Certified Information Security Manager), CGEIT (Certified in the ­Governance of Enterprise IT) und CRISC (Certified in Risk and Information ­Systems Control) im Angebot – jeweils als berufsbegleitende Ausbildung mit strukturiertem Selbststudium und 12–14 Tagen Präsenzunterricht sowie auch als kompaktes ­­3- resp. 4tägiges Prüfungsvorbereitungstraining.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER