Gastbeitrag: Die ISO-Norm 27002:2022 wurde revidiert. Die wesentlichen Änderungen und Neuerungen fasst Klaus Veselko zusammen.
Foto: Weinwurm
Der Autor Klaus Veselko ist Geschäftsführer der CIS
Die internationale Norm ISO/IEC 27002 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“ definiert allgemeine Sicherheitsmaßnahmen und unterstützt bei der Erfüllung der Anforderungen aus dem Annex A der ISO/IEC 27001. Die ISO 27002 ist dabei der detaillierte und präzise Zusatz, kann jedoch nicht zertifiziert werden, da es sich um keine Managementnorm handelt. Der Leitfaden wird somit bei der Implementierung von Informationssicherheitsmanagementsystemen (ISMS) zu Rate gezogen.
Die Vorgängerversion ISO 27002:2013 wurde vor mehr als neun Jahren publiziert, Ende 2021 erschien nach vorhergehenden Abstimmungen innerhalb der ISO-Normungsgremien sowie zahlreichen Überarbeitungen der Final Draft International Standard (DFIS) der ISO 27002.
Die ISO 27002:2022 soll künftig über 93 Sicherheitsmaßnahmen (sog. „Controls“) verfügen – unterteilt in die vier Kategorien organisatorische (37), personelle (8), physische (14) und technologische Kontrollen (34). Jede Steuerungsmaßahme wird wiederum mit Attributen verknüpft. Somit wird eine standardisierte Möglichkeit geboten, die Sicherheitsmaßnahmen zu sortieren bzw. filtern. Diese Attribute sind:
In der Vorgängerversion, der ISO 27002:2013, waren dies noch 114 Maßnahmen, kategorisiert in 11 Bereiche. Von diesen ist eine einzige Maßnahme weggefallen (Removal of assets), andere Maßnahmen wurden – u. a. zum Zweck der besseren Übersichtlichkeit – hingegen zu inhaltlich ähnlichen Themen zusammengefasst.
Neben der strukturellen Überarbeitung, wurden inhaltlich mehrere Kontrollziele ergänzt, darunter Bereiche wie Threat Intelligence, Information Security for Use of Cloud Services, ICT Readiness for Business Continuity, Physical Security Monitoring und Configuration Management, um nur einige zu nennen.
Gleichzeitig erfordert die grundlegende, strukturelle Änderung der ISO 27002 umgekehrt auch eine Überarbeitung der ISO 27001 – im Speziellen des Anhang A – um beide Standards in Einklang zu halten. Somit ist in Kürze, mittels beschleunigtem Verfahren, auch eine neue Version der ISO 27001 zu erwarten, um die Zeit der Abweichungen beider Normen möglichst kurz zu halten.
Unternehmen, die bereits ein ISMS nach ISO 27001 implementiert haben, sollten sich somit mit den neuen Kontrollzielen vertraut machen und diese nach einer Übergangsfrist von bis zu zwei Jahren (ab dem Monat der tatsächlichen Veröffentlichung) umsetzen, wie in einem entsprechenden Entwurf des entsprechenden Mandatory Document des International Accreditation Forum (IAF) zu lesen ist. Organisationen, die mit dem Gedanken einer Zertifizierung nach ISO 27001 spielen, empfehlen wir, dieses ISMS bereits nach der neuen Struktur der ISO 27002:2022 zu erarbeiten.
Der Autor Klaus Veselko ist Geschäftsführer der CIS – Certification & Information Security Services. Die akkreditierte Zertifizierungsorganisation ist aktiv in Arbeitsgruppen und somit an der Revision der Norm beteiligt. Darüber hinaus arbeitet die CIS zurzeit intensiv an der Umsetzung sowie Implementierung der neuen Version in sämtliche Services (Zertifizierung, Audits und Trainings). In den kommenden Monaten ist ein eintägiges Update-Seminar geplant, in welchem die Neuerungen und Änderungen dargelegt werden. Weitere Infos bald unter www.cis-cert.com.
.jpg&size=390x230&crop=0&trim=1)
