Eine Übersicht aller Änderungen in der ISO 27002

Das Wichtigste in Kürze 

• Die ISO 27002 wurde im Februar neu strukturiert und aktualisiert. Sie bildet jetzt schon im Titel die Themen Informationssicherheit, Cybersicherheit und Datenschutz ab.
• Die Maßnahmen (Controls) aus ISO 27001 Anhang A wurden komprimiert, thematisch zusammengefasst, ergänzt und gestrichen.
• Unter dem neuen Begriff Attribute wurden Kriterien eingeführt, die dazu dienen, Maßnahmen zu bewerten, indem sie mithilfe von Hashtags bestimmten Kategorien zugewiesen werden.
• Im Hinblick auf die neue Version der Zertifizierungsnorm ISO 27001, die im Herbst zu erwarten ist, sollten sich Unternehmen zügig mit der neuen Struktur der ISO 27002 auseinandersetzen.

Was ist die ISO 27002 und in welcher Verbindung steht sie zur ISO 27001?

Die Zertifizierungsnorm ISO 27001 definiert Grundprinzipien, wie mit dem Thema Informationssicherheit umzugehen bzw. ein ISMS aufzubauen ist. Dazu stellt die Norm Unternehmen unabhängig von ihrer Größe und Branche einen Rahmen aus Richtlinien, Verfahren und Maßnahmen (Controls) zur Verfügung. 

Die ISO 27002 bietet umfassende Informationen (Best Practices) dazu, wie Sie Ihr ISMS optimal aufbauen könnten. Grundlage dafür sind die Maßnahmen, die in ISO 27001 im Anhang A aufgeführt sind. In ISO 27002 werden diese genauer beschrieben, um praktische Hilfestellung zu bieten, wie diese Maßnahmen mit Blick auf die Zertifizierung nach ISO 27001 umgesetzt werden sollten.

Die ISO 27002:2022 wurde Mitte Februar veröffentlicht und bietet eine Reihe von Neuerungen im Vergleich mit der Version aus dem Jahr 2013 bzw. 2017.

Was hat sich in der ISO 20002:2022 gegenüber der vorherigen Version geändert?

Die aktualisierte Ausrichtung der ISO 27002 zeigt sich bereits im Titel: Information security, cybersecurity and privacy protection – Information security controls. Im Fokus stehen jetzt ausdrücklich Informationssicherheit, Cybersicherheit und Datenschutz.

Informationssicherheit vs. Cybersicherheit: das sind die Unterschiede

Die ISO 27002 wurde komplett neu strukturiert und sieht jetzt nur noch vier statt vierzehn Hauptkategorien (Clauses) vor. Maßnahmen (Controls) wurden ersetzt, zusammengefasst (von 56 auf 24) und gestrichen. Die vier Hauptkategorien bestehen jetzt aus 93 Controls (statt 114), elf neue kamen hinzu, eine Maßnahme wurde entfernt bzw. ersetzt.

Einige Definitionen haben sich geändert, außerdem führt die neue Version 37 neue Begriffe ein – teilweise aus anderen Normen angepasst übernommen –, und 33 Abkürzungen, die das Lesen vieler komplizierter Begriffe erleichtern. 

Grundsätzlich neu ist der Bereich der Attribute: Jede Maßnahme wird jetzt nach ihren Eigenschaften (Attributen) kategorisiert und bewertet.

Wie ist die neue Version der ISO 27002 aufgebaut?

Die ISO 27002:2022 hat vier klar getrennte Hauptkapitel: 

• Organisational controls (Kap. 5) – Rollen und Verantwortlichkeiten, Umgang mit Informationen, Berechtigungsmanagement etc. (37)
• People controls (Kap. 6) – Personalprozesse, Schulung etc. (8)
• Physical controls (Kap. 7) – Perimeter- und Objektschutz etc. (14)
• Technology controls (Kap. 8) – IT-Betrieb, Logging und Monitoring etc. (34)

Welche neuen Maßnahmen (Controls) gibt es in der ISO 27002:2022?

Die ISO 27002:2022 enthält elf neue Maßnahmen:

• Threat intelligence (5.7) – Informationen über Bedrohungen der Informationssicherheit einzuholen und zu analysieren, ist jetzt explizit gefordert.
• Information security for use of cloud services (5.23) – Alle Verfahren im Zusammenhang mit Cloud-Diensten sollten mit den Vorgaben zur Informationssicherheit abgestimmt sein.
• ICT readiness for business continuity (5.30) – Der Begriff ICT wurde neu eingeführt und setzt sich zusammen aus Information, Kommunikation und Technologie. Die Norm setzt dabei den Fokus auf Kommunikation, die für Informationssicherheit von kritischer Bedeutung ist.
• Physical security monitoring (7.4) – Die Geschäftsgebäude sollten auf unerlaubten physischen Zugang überwacht werden.
• Configuration management (8.9) – Konfigurationen (Hardware, Software, Netzwerke, Dienste) sollten eingerichtet, dokumentiert, implementiert, überwacht und überprüft werden.
• Information deletion (8.10) – Gespeicherte Informationen sollten gelöscht werden, wenn sie nicht mehr benötigt werden.
• Data masking (8.11) – Datenmaskierung (etwa Pseudonymisierung) sollte in Abstimmung mit themenspezifischen Richtlinien und Anforderungen des Unternehmens geschehen ( Datenschutz).
• Data leakage prevention (8.12) – Alle Systeme, Netzwerke und Endgeräte, die sensible Daten verarbeiten und speichern, sollten durch Maßnahmen gesichert werden, die Datenlecks vermeiden.
• Monitoring activities (8.16) – Um Verletzungen der Informationssicherheit zu vermeiden, sollten Netzwerke, Systeme und Anwendungen auf anormales Verhalten hin überwacht und geeignete Maßnahmen ergriffen werden.
• Web filtering (8.22) – Der Zugang zu externen Websites sollte gemanagt werden, um potenzielle Cyberangriffe zu vermeiden.
• Secure coding (8.28) – Für die Software-Entwicklung sollten die Grundsätze der sicheren Kodierung gelten.

Übrigens: Das Thema ISO 27002 war bereits Thema auf unserem vergangenen EPIC-Event. Die dazugehörige Session können Sie sich jetzt noch einmal im Re-live ansehen. 

Welche Maßnahmen wurden in der ISO 27002:2022 gelöscht?

Gelöscht wurde eine einzige Maßnahme, nämlich Removal of assets, die quasi eine Nachfolge in der Maßnahme Information deletion gefunden hat. Es reicht jetzt nicht mehr, das physische Asset zu entfernen, sondern es geht darum, alle Informationen zu löschen.

Was ist unter dem Begriff Attribute zu verstehen? 

Die ISO 27002:2022 hat den Begriff grundsätzlich neu eingeführt. Die Attribute dienen dazu, Hashtags zu generieren, um die Maßnahmen (Controls) zu bewerten bzw. bestimmten Kategorien der Informationssicherheit, Unternehmensstrukturen oder Rollen zuzuordnen.

Es gibt fünf Attributkategorien: Control type, Information security concepts, Cybersecurity concepts, Operational capabilities und Security domains.

Wie sind die Attributkategorien strukturiert?

Jede Maßnahme wird nach den folgenden Attributkategorien bewertet: 

• Control type – #Preventive, #Detective, #Corrective. Wann und wie wirkt sich die Maßnahme auf das Risiko im Zusammenhang mit einem Vorfall aus?
• Information security concepts – #Confidentiality, #Integrity, #Availability. Bewertet wird nach den bekannten Schutzzielen der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit.
• Cybersecurity concepts – #Identify, #Protect, #Detect, #Respond, #Recover. Die Maßnahmen werden in ihrer zeitlichen Abfolge betrachtet, was auch dazu dienen kann, später festzustellen, an welchem Punkt etwas schiefgelaufen ist und wo Verbesserungspotenzial besteht.
• Operational capabilities – Beispiele aus der sehr umfangreichen Kategorie: #Physical_security, #Application_security, #Supplier_relationships_security. Die Maßnahmen werden Rollen und Abteilungen im Unternehmen zugeordnet, um Verantwortlichkeiten festzulegen.
• Security domains – #Governance_and_Ecosystem, #Protection, #Defence, #Resilience. Diese Attribute bilden die High Level Struktur im Unternehmen ab, aus der Sicht von Produkten, Dienstleistungen, Bereichen der Informationssicherheit.

Was bedeutet die ISO 27002:2022 für Ihr Unternehmen?

Auf den ersten Blick hat sich die ISO 27002 zum Positiven verändert, weil sie besser strukturiert und aktualisiert wurde, weil Maßnahmen komprimiert und so zusammengefasst wurden, dass sie in der Logik zueinander passen und möglicherweise leichter zu implementieren sind. Aber der Teufel steckt im Detail.  

Wenn Sie nach ISO 27001 Anhang A zertifiziert sind, bedeutet die neue Struktur, dass Sie Ihr Risikomanagement überprüfen und anpassen müssen. Möglicherweise ist eine Maßnahme, die Sie bereits implementiert haben, jetzt mit einer anderen zusammengefasst, die Sie neu einrichten müssen. Außerdem heißt es für Sie, Ihr Statement of Applicability (SoA) mit Blick auf die neuen Maßnahmen zu überprüfen – falls Sie zum Beispiel keine Cloud Services einsetzen, trifft die entsprechende neue Maßnahme für Sie nicht zu. Sie sollten jedoch genau beschreiben, warum Sie sich gegen eine Maßnahme entscheiden.

Wenn Sie sich als Unternehmen neu zertifizieren lassen wollen, können Sie sich bereits jetzt an der neuen Struktur ausrichten.

Die neue Version der Zertifizierungsnorm ISO 27001 wird bald veröffentlicht werden, die ISO 27002:2022 gibt einen Vorgeschmack darauf. Machen Sie sich jetzt mit den neuen Maßnahmen, der neuen Struktur, den Attributen vertraut!

Fazit

Die ISO 27002:2022 bietet eine ganze Reihe an Neuerungen, auch im Vorgriff auf die neue Version der Zertifizierungsnorm ISO 27001, die im Herbst zu erwarten ist. Egal ob Sie eine Zertifizierung nach ISO 27001 anstreben oder Ihr bestehendes ISMS im Hinblick auf ein Re-Audit überprüfen und der neuen Version anpassen wollen – es heißt, sich jetzt intensiv mit der neuen Struktur auseinanderzusetzen.

Holen Sie sich in unseren Artikeln Wissenswertes zur ISO 27000 und Kurzübersicht: ISO 27001 und ISO 27002 im Vergleich ausführlichere Informationen zu den beiden Normen.

Benötigen Sie Hilfe bei der Zertifizierung nach ISO 27001, der Überprüfung Ihres ISMS oder der Vorbereitung auf ein Re-Audit? Wir helfen Ihnen gerne weiter – wenden Sie sich noch heute an einen unserer Experten für Informationssicherheit.