Messen, kontrollieren und optimieren

Wie alle Normenwerke ist auch die ISO 17799 einem regelmässigen Revisionsprozess unterworfen. Eine spezialisierte ISO-Arbeitsgruppe erstellte eine neue Version (offizielle Verabschiedung im Frühjahr oder Sommer 2005) auf der Basis von Kommentaren aus über 20 Mitgliedsländern, was das grosse Interesse widerspiegelt, das weltweit an diesem Standard besteht. Die Struktur der Kapitel wurde im Wesentlichen beibehalten. Neu wurde das Kapitel Information Security Incident Management integriert und die Terminologie leicht überarbeitet. Die Gliederung des Standards in Massnahmenziele und Massnahmen zur Zielerreichung wurde allerdings beibehalten. Da in diesem Beitrag unmöglich ist, alle Modifikationen wiederzugeben, seien hier vorab die wichtigsten Änderungen in Kürze beschrieben.

Eine der offensichtlichsten Veränderungen ist die benutzerfreundlichere und klarere Präsentationsform der konkreten Massnahmen in drei Teilen: Control, Implementation Guidance und Other Information.

Ein häufig auftretendes Problem wurde im Standard (bisher Personal Security genannt) bis anhin nicht adäquat behandelt: Was soll beim Ausscheiden eines Mitarbeiters geschehen? Neue Ziele und Massnahmen mussten definiert werden, um eine solche Situation zuverlässig handzuhaben und eventuelle sicherheitsgefährdende Vorkommnisse wie Firmenbesuche ohne Zugangskontrolle oder die Möglichkeit eines noch späteren Zugriffs auf das Firmennetzwerk zu verhindern. Das Kapitel wurde neu gemäss eines typischen Anstellungsverhältnisses untergliedert.

Das Thema Incidents (Ereignisse) wurde in den bis anhin benannten Kapiteln Personal Security und Communications and Operations Management behandelt. Eine benutzergerechtere Präzisierung führte nun zu einem neuen Kapitel mit dem Term Information Security Incident Management - in Harmonisierung mit dem kürzlich pub-lizierten Standard ISO/IEC TR 18044. Es wird nun zwischen Events, allen sicherheitsrelevanten Ereignissen, und Incidents, Ereignissen, die ein echtes Sicherheitsproblem darstellen, unterschieden. Ein Event, der kein Incident ist, stellt zum Beispiel ein autorisierter User dar, der sein Passwort vergessen hat und versucht, sich mit einem falschen anzumelden. Die Massnahmenziele sind zum einen das Information Reporting of Security Events and Security Weaknesses, zum anderen das Informations Management of Security Incidents and Improvements, was sicherstellen soll, dass schadensrelevante Sicherheitsvorfälle konsistent und effektiv gemanagt werden.

Das signifikant überarbeitete Kapitel Organizing Information Security wurde klarer strukturiert und in die zwei Gebiete Internal Organization und External Parties unterteilt. Das Letztere behandelt die Risiken beim Zugang von Fremdunternehmen und die Sicherheitsanforderungen, die vertraglich festgehalten werden können - berücksichtigt ist dabei auch die Zusammenarbeit mit Kunden. Die Massnahme External Facilities Management im Kapitel Communications and Operations Management wurde zudem durch ein neues Ziel ersetzt, das die sicherheitsrelevanten Aspekte im IT Service Management aufgreift: Third Party Service Delivery Management - das sichere Management von Services, die ein Fremdunternehmen anbietet.