ISO/IEC 27002 Update: Neue Version bringt Änderungen mit sich

– Melissa Larbig

Der international bekannte Standard ISO/IEC 27002 beschreibt diverse Sicherheits- und Kontrollmaßnahmen für die Informationssicherheit. Diese Maßnahmen werden üblicherweise in vielen Organisationen angewendet. Der Standard wurde nun komplett überarbeitet. Hintergrund ist, dass die Informationssicherheit einem stetigen Wandel unterliegt und sich schnell verändert. Daher hat man den Standard aktualisiert und an aktuelle Fragestellungen und Probleme angepasst. Die neue Version der Norm ISO/IEC 27002 wurde am 15.02.2022 veröffentlicht, während die finale Version der ebenfalls überarbeiteten Norm ISO/IEC 27001 auch noch in diesem Jahr erwartet wird. In diesem Blogbeitrag fassen wir die wichtigsten Änderungen zusammen und gehen auf deren Auswirkungen auf zertifizierte Unternehmen ein.

Bedeutung, Inhalt und wichtige Änderungen der ISO/IEC 27002

Wie bereits erwähnt, beinhaltet die internationale Norm ISO/IEC 27002 Beschreibungen allgemeiner Maßnahmen für die Informationssicherheit. Sie unterstützt bei der Umsetzung der Maßnahmen aus dem Anhang A der ISO/IEC 27001. Diese beiden Normen haben in der Informationssicherheit einen sehr hohen Stellenwert. Besonders den allgemeinen Maßnahmen (controls) kommt eine hohe Bedeutung zu. Die Norm ISO/IEC 27002 an sich nutzen viele Unternehmen als Orientierungsleitfaden, wenn es um den Aufbau eines Informationssicherheits-Managementsystems (ISMS) geht. Nachfolgend die wesentlichen Änderungen in einem kurzen Überblick:

– Inhaltliche Überarbeitung der Norm, unter anderem:
– Hinzunahme oder auch Zusammenlegung von Maßnahmen
– Sprachliche Überarbeitung der Maßnahmen

– Große strukturelle Überarbeitung der Norm, unter anderem:
– anstatt 14 Maßnahmenkapiteln gibt es jetzt nur noch 4:
– „Organizational controls“ (beinhaltet 37 Maßnahmen)
– „People controls“ (beinhaltet 8 Maßnahmen)
– „Physical controls“ (beinhaltet 14 Maßnahmen)
– „Technological controls“ (beinhaltet 34 Maßnahmen)

– 11 neue Maßnahmen wurden hinzugefügt:
– Threat intelligence
– Information security for use of cloud services
– ICT Readiness für Business Continuity
– Physical security monitoring
– Configuration management
– Information deletion
– Data masking
– Data leakage prevention
– Monitoring activities
– Web filtering
– Secure coding

Insgesamt gibt es nun 93 Maßnahmen. In der Vorgängerversion waren es noch 114. Die einzelnen Kapitel/Kategorien wurden zudem mit gewissen Attributen verknüpft, um die Maßnahmen zu filtern. Das hat eine erhöhte Transparenz zur Folge.

Auswirkungen der Änderungen auf zertifizierte Unternehmen

Wir haben es bereits erwähnt: Die an dem Standard ISO/IEC 27002 vorgenommenen Änderungen bleiben nicht ohne Folgen für zertifizierte Unternehmen oder nachweispflichtige Informationssicherheits-Managementsysteme. Es ist nicht ausreichend, nur die hinzugekommenen 11 neuen Maßnahmen umzusetzen, da sich in den bekannten Maßnahmen erweiterte Anforderungen verstecken können. Maßgeblich für eine Zertifizierung bleibt, wie bisher auch, die Norm ISO/IEC 27001 mit den zugehörigen Maßnahmen. Das ändert sich auch mit Veröffentlichung der neuen ISO/IEC 27002 nicht. Um die Synchronität der Standards weiterhin gewährleisten zu können, ist zeitnah mit weiteren Anpassungen zu rechnen.

Vor allem für Organisationen, die ein ISMS nach ISO/IEC 27001 betreiben oder sich auf dem Weg der Umsetzung befinden, ist es empfehlenswert, sich mit den neuen Anforderungen der ISO/IEC 27002 frühzeitig vertraut zu machen.

Fazit

Die Norm ISO/IEC 27002 hat einen neuen Anstrich bekommen. Sowohl inhaltlich als auch strukturell hat sich mit der neuen Version einiges getan. Weitere Normenanpassungen werden wohl zeitnah folgen. Daher kann man nur raten, sich frühzeitig mit allen Änderungen und Neuerungen zu befassen. Vor allem für Security Officer ist es wichtig, über die wesentlichen Änderungen Bescheid zu wissen. Denn diese müssen die neuen Strukturen kennen und in der Praxis anwenden können.

Dieser Blogbeitrag stellt nur eine kurze Zusammenfassung der Änderungen dar und soll Ihnen einen kurzen Überblick ermöglichen. Wenn Sie noch mehr darüber erfahren möchten, dann unterstützen wir, die PSW TRAINING, Sie gerne dabei. Besuchen Sie unsere 1-tägige Schulung „ISO/IEC 27002 Update“. Hier finden Sie Termine und weitere Informationen.