Die neue ISO 27002:2022

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

ISO 27002:2022 wurde am 15. Februar 2022 neu veröffentlicht und löste die Version aus dem Jahr 2013 ab. Auch die ISO 27001:2022 ist ebenfalls auf dem Weg...

Was ist die ISO 27002

Jeder, der sich für Informationssicherheit interessiert, wird schon einmal mit ISO 27001 in Berührung gekommen sein, der internationalen Norm, die bewährte Verfahren für ein ISMS (Informationssicherheitsmanagementsystem) beschreibt. Hand in Hand mit der ISO 27001 geht die ISO 27002. Dabei handelt es sich um eine ergänzende Norm, die Ratschläge für die Umsetzung der in Anhang A der ISO 27001 aufgeführten Sicherheitskontrollen gibt.
Obwohl ISO 27001 die bekanntere Norm ist - und diejenige, nach der sich Organisationen zertifizieren lassen - kann keine der beiden Normen für sich allein betrachtet werden. Die ISO 27002 ist im Vergleich zur ISO 27001 nicht normativ, das heißt man kann sich nicht nach der ISO 27002 zertifizieren lassen. 

ISO 27002:2022

ISO 27002:2022 wurde am 15. Februar 2022 neu veröffentlicht und löste die Version aus dem Jahr 2013 ab. Auch die ISO 27001:2022 ist ebenfalls auf dem Weg. In diesem Artikel werden die Änderungen in den 2022er Versionen dieser beiden Normen dargestellt.   

Hintergrund der neuen Struktur

ISO/IEC 27001:2013 wurde zuletzt 2013 aktualisiert, um dem Anhang L (auch bekannt als Anhang SL) zu entsprechen, einer Struktur, die allen neueren Managementsystemnormen gemeinsam ist und die besseren Synergien bei der Implementierung von mehr als einem Managementsystem ermöglicht. Die Struktur von Anhang L wurde weitgehend übernommen, was erklären könnte, warum der Schwerpunkt der Version 2022 nicht auf den ISO 27001-Klauseln, sondern auf Anhang A und der damit verbundenen ISO 27002 liegt.

Zusammenfassung der Änderungen in der ISO 27002:2022

Die neue ISO 27002 umfasst 93 Kontrollen in den folgenden 4 Abschnitten:

  • Organisatorische Kontrollen (Abschnitt 5)
  • Personalkontrollen (Abschnitt 6)
  • Physische Kontrollen (Abschnitt 7)
  • Technologische Kontrollen (Abschnitt 8)

35 Kontrollen blieben unverändert (bis auf die geänderte Kontrollnummer)

11 neue Kontrollen wurden hinzugefügt

23 Kontrollen wurden umbenannt (zur leichteren Verständlichkeit)

Anzahl der Kontrollen wurden reduziert (von 114 auf 93). Technologische Fortschritte und ein verbessertes Verständnis für die Anwendung von Sicherheitspraktiken scheinen die Gründe für die Änderung der Anzahl der Kontrollen zu sein.

Nur eine Kontrolle wurde aufgespalten; Kontrolle 18.2.3 Technische Überprüfung der Einhaltung der Vorschriften wurde aufgeteilt in:

  • 5.3.6 - Einhaltung von Richtlinien, Vorschriften und Standards für die Informationssicherheit;
  • 8.8 - Management von technischen Schwachstellen
     

Neue Controls

Der Anwendungsbereich von ISO/IEC 27002:2022 enthält nun 11 neue Kontrollen. Diese sind:

  • Threat Intelligence - Verständnis von Angreifern und deren Vorgehensweise.
  • Informationssicherheit bei der Nutzung von Cloud-Diensten - die Einführung über den Betrieb bis hin zur Ausstiegsstrategie bei Cloud-Initiativen muss betrachtet werden.
  • IKT-Bereitschaft für die Geschäftskontinuität - die Anforderungen an die IT-Landschaft sollten aus den allgemeinen Geschäftsprozessen und der Fähigkeit zur Wiederherstellung der Betriebsfähigkeit abgeleitet werden.
  • Überwachung der physischen Sicherheit - der Einsatz von Alarm- und Überwachungssystemen zur Verhinderung unbefugten physischen Zugriffs hat an Bedeutung gewonnen.
  • Konfigurationsmanagement - Härtung und sichere Konfiguration von IT-Systemen.
  • Informationslöschung - die Einhaltung externer Anforderungen, wie z. B. Datenschutz-Löschkonzepte, muss umgesetzt werden.
  • Datenmaskierung - Verwendung von Techniken zur Maskierung von Daten, wie Anonymisierung und Pseudonymisierung, um den Datenschutz zu verbessern.
  • Verhinderung von Datenlecks - Ergreifung von Maßnahmen, um zu verhindern, dass sensible Daten nach außen dringen.
  • Überwachung von Aktivitäten - Ihr Unternehmen sollte die Netzwerksicherheit und das Anwendungsverhalten überwachen, um Netzwerkanomalien zu erkennen.
  • Webfilterung - verhindert, dass Benutzer bestimmte URLs mit bösartigem Code aufrufen.
  • Sichere Kodierung - die Verwendung von Tools, Kommentaren, die Nachverfolgung von Änderungen und die Vermeidung unsicherer Programmiermethoden sind Möglichkeiten, um eine sichere Kodierung zu gewährleisten.

Offene Maßnahmen für Unternehmen

Wenn Sie Ihr Informationssicherheits-Managementsystem bereits gemäß ISO 27001 implementiert haben, brauchen Sie sich vorerst keine Sorgen zu machen - unabhängig von den Änderungen, die die neue Revision von ISO 27002 mit sich bringt, gibt es für zertifizierte Unternehmen eine Übergangsfrist von zwei Jahren, die erst dann beginnt, wenn ISO 27001 offiziell aktualisiert wurde, um mit diesen neuen Kontrollen übereinzustimmen.

Sobald diese neuen Kontrollen Teil von ISO 27001 Anhang A werden, müssen Sie die folgenden Schritte befolgen:

  • Überprüfen Sie die Risikobehandlung und stellen Sie sicher, dass sie mit der neuen Struktur und Nummerierung der Kontrollen übereinstimmt.
  • Aktualisieren Sie die Anwendbarkeitserklärung (Statement of Applicability, SoA), um sie mit dem aktualisierten Anhang A in Einklang zu bringen.
  • Überprüfen und aktualisieren Sie Ihre Dokumentation, einschließlich Richtlinien und Verfahren, um die neuen Kontrollen zu erfüllen.

Sie müssen nach wie vor einen risikobasierten Ansatz verwenden, um nur die für Ihr Unternehmen geeigneten und richtigen Kontrollen auszuwählen.

Brauchen Sie Hilfe  oder haben Sie generelle Fragen zum Thema? Wir stehen gerne zur Verfügung!