Der international bekannte Standard ISO\/IEC 27002 beschreibt diverse Sicherheits- und Kontrollma\u00dfnahmen f\u00fcr die Informationssicherheit. Diese Ma\u00dfnahmen werden \u00fcblicherweise in vielen Organisationen angewendet. Der Standard wurde nun komplett \u00fcberarbeitet. Hintergrund ist, dass die Informationssicherheit einem stetigen Wandel unterliegt und sich schnell ver\u00e4ndert. Daher hat man den Standard aktualisiert und an aktuelle Fragestellungen und Probleme angepasst. Die neue Version der Norm ISO\/IEC 27002 wurde am 15.02.2022 ver\u00f6ffentlicht, w\u00e4hrend die finale Version der ebenfalls \u00fcberarbeiteten Norm ISO\/IEC 27001 auch noch in diesem Jahr erwartet wird. In diesem Blogbeitrag fassen wir die wichtigsten \u00c4nderungen zusammen und gehen auf deren Auswirkungen auf zertifizierte Unternehmen ein.<\/p>\n
Wie bereits erw\u00e4hnt, beinhaltet die internationale Norm ISO\/IEC 27002 Beschreibungen allgemeiner Ma\u00dfnahmen f\u00fcr die Informationssicherheit. Sie unterst\u00fctzt bei der Umsetzung der Ma\u00dfnahmen aus dem Anhang A der ISO\/IEC 27001. Diese beiden Normen haben in der Informationssicherheit einen sehr hohen Stellenwert. Besonders den allgemeinen Ma\u00dfnahmen (controls) kommt eine hohe Bedeutung zu. Die Norm ISO\/IEC 27002 an sich nutzen viele Unternehmen als Orientierungsleitfaden, wenn es um den Aufbau eines Informationssicherheits-Managementsystems (ISMS) geht. Nachfolgend die wesentlichen \u00c4nderungen in einem kurzen \u00dcberblick:<\/p>\n
– Inhaltliche \u00dcberarbeitung der Norm, unter anderem:<\/strong> – Gro\u00dfe strukturelle \u00dcberarbeitung der Norm, unter anderem:<\/strong> – 11 neue Ma\u00dfnahmen wurden hinzugef\u00fcgt:<\/strong> Insgesamt gibt es nun 93 Ma\u00dfnahmen. In der Vorg\u00e4ngerversion waren es noch 114. Die einzelnen Kapitel\/Kategorien wurden zudem mit gewissen Attributen verkn\u00fcpft, um die Ma\u00dfnahmen zu filtern. Das hat eine erh\u00f6hte Transparenz zur Folge.<\/p>\n Wir haben es bereits erw\u00e4hnt: Die an dem Standard ISO\/IEC 27002 vorgenommenen \u00c4nderungen bleiben nicht ohne Folgen f\u00fcr zertifizierte Unternehmen oder nachweispflichtige Informationssicherheits-Managementsysteme. Es ist nicht ausreichend, nur die hinzugekommenen 11 neuen Ma\u00dfnahmen umzusetzen, da sich in den bekannten Ma\u00dfnahmen erweiterte Anforderungen verstecken k\u00f6nnen. Ma\u00dfgeblich f\u00fcr eine Zertifizierung bleibt, wie bisher auch, die Norm ISO\/IEC 27001 mit den zugeh\u00f6rigen Ma\u00dfnahmen. Das \u00e4ndert sich auch mit Ver\u00f6ffentlichung der neuen ISO\/IEC 27002 nicht. Um die Synchronit\u00e4t der Standards weiterhin gew\u00e4hrleisten zu k\u00f6nnen, ist zeitnah mit weiteren Anpassungen zu rechnen.<\/p>\n Vor allem f\u00fcr Organisationen, die ein ISMS nach ISO\/IEC 27001 betreiben oder sich auf dem Weg der Umsetzung befinden, ist es empfehlenswert, sich mit den neuen Anforderungen der ISO\/IEC 27002 fr\u00fchzeitig vertraut zu machen.<\/p>\n Die Norm ISO\/IEC 27002 hat einen neuen Anstrich bekommen. Sowohl inhaltlich als auch strukturell hat sich mit der neuen Version einiges getan. Weitere Normenanpassungen werden wohl zeitnah folgen. Daher kann man nur raten, sich fr\u00fchzeitig mit allen \u00c4nderungen und Neuerungen zu befassen. Vor allem f\u00fcr Security Officer ist es wichtig, \u00fcber die wesentlichen \u00c4nderungen Bescheid zu wissen. Denn diese m\u00fcssen die neuen Strukturen kennen und in der Praxis anwenden k\u00f6nnen.<\/p>\n Dieser Blogbeitrag stellt nur eine kurze Zusammenfassung der \u00c4nderungen dar und soll Ihnen einen kurzen \u00dcberblick erm\u00f6glichen. Wenn Sie noch mehr dar\u00fcber erfahren m\u00f6chten, dann unterst\u00fctzen wir, die PSW TRAINING, Sie gerne dabei. Besuchen Sie unsere 1-t\u00e4gige Schulung \u201eISO\/IEC 27002 Update\u201c<\/strong>. Hier<\/a> finden Sie Termine und weitere Informationen.<\/p>\n","protected":false},"excerpt":{"rendered":" – Redaktion PSW Training Der international bekannte Standard ISO\/IEC 27002 beschreibt diverse Sicherheits- und Kontrollma\u00dfnahmen f\u00fcr die Informationssicherheit. Diese Ma\u00dfnahmen werden \u00fcblicherweise in vielen Organisationen angewendet. Der Standard wurde nun komplett \u00fcberarbeitet. Hintergrund ist, dass die Informationssicherheit einem stetigen Wandel unterliegt und sich schnell ver\u00e4ndert. Daher hat man den Standard aktualisiert und an aktuelle Fragestellungen<\/p>\n","protected":false},"author":15,"featured_media":2211,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[57,58],"class_list":["post-2202","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","tag-iso-27002","tag-update"],"_links":{"self":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/2202","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/comments?post=2202"}],"version-history":[{"count":8,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/2202\/revisions"}],"predecessor-version":[{"id":2467,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/2202\/revisions\/2467"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/media\/2211"}],"wp:attachment":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/media?parent=2202"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/categories?post=2202"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/tags?post=2202"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n– Hinzunahme oder auch Zusammenlegung von Ma\u00dfnahmen
\n– Sprachliche \u00dcberarbeitung der Ma\u00dfnahmen<\/p>\n
\n– anstatt 14 Ma\u00dfnahmenkapiteln gibt es jetzt nur noch 4:
\n– \u201eOrganizational controls\u201c (beinhaltet 37 Ma\u00dfnahmen)
\n– \u201ePeople controls\u201c (beinhaltet 8 Ma\u00dfnahmen)
\n– \u201ePhysical controls\u201c (beinhaltet 14 Ma\u00dfnahmen)
\n– \u201eTechnological controls\u201c (beinhaltet 34 Ma\u00dfnahmen)<\/p>\n
\n– Threat intelligence
\n– Information security for use of cloud services
\n– ICT Readiness f\u00fcr Business Continuity
\n– Physical security monitoring
\n– Configuration management
\n– Information deletion
\n– Data masking
\n– Data leakage prevention
\n– Monitoring activities
\n– Web filtering
\n– Secure coding<\/p>\nAuswirkungen der \u00c4nderungen auf zertifizierte Unternehmen<\/h2>\n
Fazit<\/h2>\n