Update für den verinice-Risikokatalog: Als DIN ISO 27001:2015-3 ist seit dem Frühjahr die deutsche Übersetzung der ISO 27001:2013 verfügbar. Diese ist auch in den aktualisierten verinice-Risikokatalog eingepflegt. Zusätzlich konnte das verinice.TEAM die ISO 27002:2013 integrieren, die Langtexte zu den einzelnen Maßnahmen enthält. Da hier noch keine offizielle DIN-Übersetzung vorliegt, setzt verinice auf eigene Texte, die von der ARGE Rundfunk Betriebstechnik zur Verfügung gestellt wurden.
Eine verinice.PRO-Subskription beinhaltet bereits den Zugriff auf den verinice-Risikokatalog in Deutsch und Englisch mit allen Aktualisierungen. Auch die Neuerungen der DIN ISO 27001:2015-3 sowie die Integration der deutschen ISO 27002:2013 stehen verinice.PRO-Nutzern über den Update-Server zur Verfügung. Nutzer der freien Einzelplatz-Version von verinice haben die Möglichkeit, den Risikokatalog als Zusatzinhalt über den Online-Shop zu erwerben.
Die wichtigsten Neuerungen aus der offiziellen deutschen Übersetzung DIN ISO 27001:2015-3:
- Die "IS-Leitlinie" heißt nun "Informationssicherheitspolitik", "Policy" wird ab sofort als "Politik" übersetzt. Diese Politik muss schriftlich festgehalten werden. Alle anderen Dokumente heißen weiterhin "Richtlinien", hier wurde "A.5 IS Policies" mit Informationssicherheitsrichtlinien" übersetzt.
- "Dokumente" und "Aufzeichnungen" heißen nun "Dokumentierte Information", analog zu "Documented Information“. Das verinice.TEAM hat sich entschieden, wie schon im englischen Katalog die Objekttypen "Dokument" und "Aufzeichnung" beizubehalten, da diese Unterscheidung sinnvoll scheint und auch im Standard z.B. nach wie vor die Maßnahme "Schutz von Aufzeichnungen" enthalten ist.
- Weitere Umbenennungen: Einige Bezeichnungen haben sich gewandelt, bei einigen haben wir die vorherige Version beibehalten.
- "Information Security Risk Assessment" heißt nun "Informationssicherheitsrisikobeurteilung", und natürlich gibt es auch einen "Informationssicherheitsrisikobeurteilungsprozess". Der zugehörige verinice-Report wird umbenannt - allerdings in "IS-Risikobeurteilung" (statt "Informationssicherheitsrisikobeurteilungsbericht"). Analog wird aus dem "Information Security Risk Treatment" die "Informationssicherheitsrisikobehandlung" (Reportname: "IS-Risikobehandlung").
- "Risk Owner" sind nun "Risikoeigentümer",
- "Assets" sind "Werte" (verinice behält "Assets" bei)
- Control A 8.1.2 "Assets shall be owned" lautet auf deutsch "Für Werte gibt es Zuständige" - in verinice gilt (ohne Customizing): Asset Owner = Risk Owner, d.h. mit Assets verknüpfte Personen betrachtet verinice als Risikoeigentümer (deutsch: Asset-Zuständiger = Risikoeigentümer).
- "Controls" sind nun "Maßnahmen" (verinice behält "Control" bei)
Kennzahlen und die ISO 27004
Besonderes Augenmerk sollte den Kennzahlen gelten, die in Kapitel 9 der DIN ISO 27001:2015-3 "Überwachung, Messung, Analyse und Bewertung" zwingend eingefordert werden. Der zugehörige Standard ISO 27004, der dies genauer definiert, ist allerdings noch auf dem Stand von 2009 und wird derzeit überarbeitet. Notwendig wird der Aufbau eines "ISMP" für das “ISMS": das "Information Security Measurement Programme". Es existiert keine deutsche Übersetzung der ISO 27004 in jedweder Version.
Kennzahlen beispielsweise zum Reifegrad der Control-Umsetzung, zum Erfolg von Risikobehandlungsmaßnahmen u.a. lassen sich in verinice durch die vorhandenen Reporting-Funktionen abdecken. Darüber hinaus hat das verinice.TEAM einige spannende Ideen für Erweiterungen in Sachen ISMP, an denen gerade gearbeitet wird.
