Die neue ISO 27002:2022 erfordert Anpassungen an Ihrem ISMS
Im ersten Quartal 2022 wird eine neue Version der ISO/IEC 27002 veröffentlicht. Der neue Standard definiert allgemeine Sicherheitsmaßnahmen nach dem Stand der Technik und stellt den Standard-Leitfaden zur Umsetzung der Anforderungen aus dem Annex A der ISO/IEC 27001 dar. Damit wird der Standard bei nahezu jeder entsprechenden Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) zu Rate gezogen. Zwar ist für die Zertifizierung derzeit noch die ISO/IEC 27001:2013 mit den in Annex A zugehörigen Maßnahmen, die auf die aktuelle ISO/IEC 27002:2013 referenzieren maßgeblich, doch wird auch hier eine Anpassung im ersten Halbjahr 2022 erwartet. Sie sollten die Chance nutzen und sich schon jetzt mit dieser Thematik auseinandersetzen und die Auswirkungen einer aktualisierten ISO 27002 frühzeitig für Ihr ISMS analysieren und daraus entstehenden Änderungsbedarf berücksichtigen.
Das könnte Sie auch interessieren:
Was ändert sich mit dem neuen Standard?
Neben der inhaltlichen Überarbeitung, welche im Wesentlichen aus der Zusammenlegung und sprachlichen Überarbeitung der Maßnahmen besteht, bekommt der neue Standard vor allem eine starke strukturelle Überarbeitung. Die 93 Maßnahmen werden jetzt jeweils in einen der vier Themenbereiche Organizational controls (37), People controls (8), Physical controls (14) oder Technological controls (34) eingeteilt. Weiterhin werden die Ziele der Maßnahmen explizit definiert und zusätzliche Attribute aufgeführt, die weitergehende Informationen geben, bspw. zur Wirkungsweise der Maßnahme.
Die Änderungen an der ISO 27002 ziehen weitere Änderungen an referenzierenden Normen in den nächsten Jahren nach sich. Unter anderem wird es im ersten Halbjahr 2022 eine Anpassung an der ISO 27001 geben, um die Synchronität der Standards wieder herzustellen.
TTS trax unterstützt bei Migration auf neue ISO/IEC 27002:2022
Unser ISMS Tool TTS trax unterstützt Sie jetzt schon beim Aufbau Ihres ISMS nach dem neuen Standard sowie bei der Migration von der ISO/IEC 27002:2013 auf ISO/IEC 27002:2022 und auch bei allen weiteren angepassten Normen aus der 27000er-Familie.
Was ändert sich jetzt bei der neuen ISO 27002:2022 im Detail?
Wie schon oben erwähnt, ist die ISO/IEC 27002 der internationale Standard, wenn es um allgemeine Sicherheitsmaßnahmen nach Stand der Technik geht. Aus diesem Grund wird von etlichen Gesetzen und regulatorischen Vorgaben auch die Umsetzung der ISO/IEC 27002 gefordert, wenn es um die Etablierung von Sicherheit nach Stand der Technik geht. Der Standard stellt den Leitfaden zur Umsetzung der Anforderungen aus dem Annex A der ISO/IEC 27001 dar und wird somit bei nahezu jeder entsprechenden Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) zu Rate gezogen.
Im Dezember 2021 wurde, nach über dreijähriger Überarbeitung, der ISO/IEC FDIS 27002:2022 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“ (FDIS steht für Final Draft International Standard) verabschiedet, so dass einer baldigen Veröffentlichung nichts mehr im Wege steht.
Die neue Version wurde sowohl strukturell wie auch inhaltlich deutlich modernisiert und aktualisiert.
Strukturelle und inhaltliche Überarbeitung
Die überarbeitete Version bringt eine grundlegend neue Struktur der Maßnahmen (Controls) mit, die von der aktuellen ISO/IEC 27002:2013 stark abweicht. Anstatt der bekannten thematischen Gruppierung der 114 Maßnahmen in 14 Maßnahmenbereiche, werden die neuen 93 Maßnahmen jetzt jeweils in einen der vier Themenbereiche Organizational controls (37), People controls (8), Physical controls (14) oder Technological controls (34) eingeteilt, je nachdem, welches Thema die jeweilige Maßnahme maßgeblich bestimmt. Weiterhin wird das Ziel jeder Maßnahme explizit definiert und es werden zusätzliche Attribute aufgeführt, die weitergehende Informationen geben, bspw. zur Wirkungsweise der Maßnahme. Attribute stellen hierbei auch eine alternative Sortiermöglichkeit der Maßnahmen dar und sollen für mehr Flexibilität – und Interoperabilität zu anderen Standards sorgen. Die folgenden Attribute sind im neuen Standard enthalten:
Control type | Wirkungsweise der Maßnahme [#Preventive, #Detective, #Corrective] |
Information security property | Auswirkung auf Sicherheitsziele [#Confidentiality, #Integrity, #Availability] |
Cybersecurity concepts | Einordnung in Cybersecurity Frameworks [#Identify, #Protect, #Detect, #Respond, #Recover] |
Operational capabilities | Operative Fähigkeiten [#Application security, #Asset management, #Continuity, #Data protection, #Governance, #Human resource security, #Identity and access management, #Information security event management, #Legal and compliance, #Physical security, #Secure configuration, #Security assurance, #Supplier relationships security, #System and network security, #Threat and vulnerability management] |
Security Domains | NIS Sicherheitsdomänen (ENISA) [#Governance_and_Ecosystem, #Protection, #Defence, #Resilience] |
Inhaltlich wurde an den Maßnahmen ebenfalls viel gearbeitet: wie bereits erwähnt, gibt es nur noch 93 Maßnahmen, verglichen mit den 114 Maßnahmen der alten ISO/IEC 27002:2013. Dabei ist allerdings keine Maßnahme wirklich entfallen, sondern sie wurden teilweise durch Zusammenlegung gleichartiger Themen inhaltlich neu geschnitten. Neben der inhaltlichen und sprachlichen Überarbeitung der bekannten Maßnahmen, wurden auch die folgenden 11 neuen Maßnahmen aufgenommen, um aktuelle Entwicklungen in der Informationssicherheit zu berücksichtigen:
5.07 Threat intelligence | Organizational Control |
5.23 Information security for use of cloud services | Organizational Control |
5.30 ICT readiness for business continuity | Organizational Control |
7.04 Physical security monitoring | Physical control |
8.09 Configuration management | Technological control |
8.10 Information deletion | Technological control |
8.11 Data masking | Technological control |
8.12 Data leakage prevention | Technological control |
8.16 Monitoring activities | Technological control |
8.22 Web filtering | Technological control |
8.28 Secure coding | Technological control |
Insgesamt macht die Überarbeitung einen aufgeräumten, zielführenden und auch sprachlich guten Eindruck, da die Maßnahmen aktuelle Themen aufgreifen und die Beschreibungen insgesamt deutlich geschärft – und Unklarheiten ausgeräumt wurden. Weiterhin gibt es durch die Attribute Hilfestellungen zu den Maßnahmen und die Flexibilität in der Anwendung – sowie Interoperabilität zu anderen Standards wird erhöht.
Welche Auswirkungen hat die Überarbeitung der ISO/IEC 27002 auf zertifizierte Unternehmen bzw. nachweispflichtige ISMS?
Maßgeblich für die Zertifizierung ist nach wie vor die ISO/IEC 27001:2013 mit den in Annex A zugehörigen Maßnahmen, die auf die aktuelle ISO/IEC 27002:2013 referenzieren. Dies ändert sich mit Veröffentlichung der neuen ISO/IEC 27002:2022 auch nicht. Vielmehr wird mit einer kurzfristigen Anpassung der ISO/IEC 27001 im ersten Halbjahr 2022 gerechnet, um die Synchronität der Standards wieder herzustellen. Danach wird es voraussichtlich, wie üblich, eine Übergangsfrist zur verpflichtenden Umsetzung geben.
Daher ist es ratsam die Chance zu nutzen, sich jetzt schon mit der neuen ISO/IEC 27002:2022 zu beschäftigen. Kapitel 4.1 der ISO 27001 verlangt nämlich genau dieses, die Analyse und Bestimmung der Auswirkungen externer Themen auf das ISMS. In diesem Fall also die Auswirkungen einer aktualisierten ISO 27002. Die Analyse bildet die Grundlage dafür, einen Plan für die Umsetzung der neuen Themen in den Bereichen der Risikoanalyse, ggf. auch Anpassung des Regelwerks und nicht zuletzt der Umsetzung der neuen Themen zu erstellen. Jetzt ist der ideale Zeitpunkt, diese Analyse und Planung durchzuführen, damit in der nächsten Managementbewertung notwendige Freigaben und auch Budgets für die Umsetzung gesichert werden können.
Fazit
Neben der einfachen Anpassung bietet sich Ihnen zudem jetzt die Chance, nicht optimal ausgestaltete Methoden und Verfahren neu zu strukturieren. Da beispielsweise das Risikomanagement auf jeden Fall überarbeitet werden muss, wäre jetzt der ideale Zeitpunkt für den Umstieg auf eine wirksamere Risikomethodik, evtl. sogar in einem ganzheitlichen Ansatz durch Integration weiterer Themen wie Datenschutz (ISO 27701), BCM (ISO 22301) oder auch ICT Continuity Management (ISO 27031). Gleiches gilt auch für das Regelwerk zur Informationssicherheit.
Egal ob Sie Ihr ISMS neu aufbauen oder das bestehende ISMS auf den neuen Standard migrieren wollen – wir helfen Ihnen bei der Wahl der, für Sie, besten Alternative und unterstützen Sie dabei, diese Hürde schnell zu überwinden! Wenn Sie auf TTS trax setzen, haben Sie bereits ein Tool, welches Ihnen den Umstieg auf die neue Norm vereinfacht und Sie auch für die zukünftigen Änderungen in der ISO 27000er-Familie wappnet.
Sprechen Sie uns bei Interesse gerne auf die Lösungsmöglichkeiten an und kontaktieren Sie uns einfach unter info@tts-trax.com. Wir vereinbaren dann gerne einen Termin für einen ersten Orientierungsworkshop mit Ihnen.