IT-Sicherheit: ISO 27002 in neuer Version erschienen

Verpassen Sie keine wichtigen News aus der Zertifizierwelt

Verpassen Sie keine wichtigen News aus der Zertifizierwelt

IT-Sicherheit: ISO 27002 in neuer Version erschienen

Der „Leitfaden“ mit Best-Practice-Ansätzen für die ISO/IEC 27001 kommt in neuem Gewand. Maßnahmen wurden zusammengelegt, umsortiert, aktualisiert und speziell rund um das Thema Cloud neu geschaffen.

Die International Organisation for Standardisation hat sich die Normen rund um Informationssicherheit vorgenommen und überarbeitet Teile der ISO/IEC 27000-Familie. Nach fast zehn Jahren ist nun die ISO/IEC 27002 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“ in neuer Version erschienen. Sie definiert allgemeine Informationssicherheitsmaßnahmen, ist allerdings keine eigenständig zertifizierbare Norm, sondern dient der einfacheren Umsetzbarkeit der ISO/IEC 27001 für Informationssicherheits-Managementsysteme. Dieser „Leitfaden“ enthält Best Practices und beschreibt, wie sich die Maßnahmen aus Anhang A der ISO 27001 in der Praxis umsetzen lassen – allerdings sind Unternehmen nicht verpflichtet, diese in vollem Umfang anzuwenden.

Die Änderungen der ISO 27002:2022

Die ISO/IEC 27002:2022 wurde gegenüber ihrer Vorgängerin aus dem Jahre 2013 komplett umstrukturiert und betont insbesondere die Themen Cloud und Web, Monitoring, Data-Leakage sowie Business Continuity. Bisher gliederte sich die Norm in 14 Kategorien, jetzt gibt es nur noch vier Hauptbereiche – Organizational Controls (organisatorische Maßnahmen), People Controls (Maßnahmen im Kontext von Menschen), Physical Controls (Maßnahmen im Kontext physischer Sicherheit) und Technological Controls (Maßnahmen im Kontext technischer Sicherheitsaspekte). Dafür wurden die einzelnen Controls neu zugeordnet und teils zusammengefasst.

Damit sich die Anwender trotzdem leicht zurechtfinden, enthält der Standard in Tabelle B1 ein Mapping, das Veränderungen einfach nachvollziehbar macht. Zentrale Neuerung ist der geöffnete Blickwinkel in Richtung Cloud mit zusätzlichen Maßnahmen. Die neue Normversion bietet den Unternehmen insgesamt eine zielgerichtete Struktur mit Bezug zu gegenwärtigen Gefährdungen und geht damit auf die aktuellen Bedürfnisse der Organisationen hinsichtlich ihrer Informationssicherheit ein.

Ein weiterer praktischer Nutzen besteht in der Einführung von sogenannten „Attributen“. Hierbei handelt es sich um Klassifizierungen einzelner Maßnahmen zu bestimmten Themenbereichen und Blickwinkeln, wie beispielsweise der „Control type“, also der Maßnahmentyp, der präventiv, detektiv oder korrektiv sein kann. Den Organisationen wird damit eine zusätzliche Steuerungs- und Überwachungsmöglichkeit an die Hand gegeben.

Das müssen Anwender jetzt wissen

Die TÜV SÜD-Einschätzung zur ISO/IEC 27002:2022: Anwender stehen in erster Linie vor der Herausforderung, sich in der neuen Struktur und Ordnung zurechtzufinden, denn inhaltlich ist vieles beim Alten geblieben. Jedoch erhalten Unternehmen mit der neuen Version einen aktuelleren, klareren Bezug zur Behandlung ihrer Risiken. Waren die als „neu“ definierten Maßnahmen zwar vorher bereits von den Unternehmen umgesetzt, wurde eine Einordnung in die alte ISO 27002 stellenweise kompliziert.

Da es sich nicht um einen Zertifizierungsstandard handelt, entsteht vorerst kein Zeitdruck bezüglich einer Umsetzung. Ein ganz anderes Kaliber ist die ISO 27001, die die Anforderungen an Einrichtung, Betrieb und laufende Verbesserung eines Informationssicherheits-Managementsystem (ISMS) definiert. Sie befindet sich aktuell ebenfalls im Revisionsprozess und im Freigabe-Workflow des finalen Entwurfs ISO/IEC FDIS 27001; aktuell wird noch ein Kapitel zur Entwicklung des ISMS eingepflegt. Wir erwarten die Veröffentlichung der neuen Version Anfang Oktober, also spätestens in Q4 dieses Jahres. Hier können sich Anwender zwar ebenfalls auf verschiedene Änderungen einstellen, die am großen Ganzen aber wohl nicht rütteln werden. Trotzdem kommt auf Unternehmen erfahrungsgemäß einiges an Aufwand zu. Wie zeitnah ISMS-Betreiber dann reagieren müssen, ist bisher noch nicht bekannt – aller Voraussicht nach liegt die Übergangsfrist bei drei Jahren. Sie kann allerdings auch lediglich 24 Monate betragen. Ganz klar hingegen: Die kommende ISO 27001-Version wird sich in Anhang A an der aktuellen ISO 27002 orientieren.

Weitere Informationen zur ISO 27001

Weitere Informationen zu TÜV SÜD Dienstleistungen rund um Cybersecurity

Ansprechpartner: Thomas Janz, Product Compliance Manager, TÜV SÜD Management Service


Wissenswert

Cloud / ISO 27001
News

Cloud-Strategie und ISO 27001

TÜV SÜD-Experte Alexander Häußler beantwortet im Interview Fragen zur Providerauswahl und welche Hilfestellung die ISO/IEC 27001 bietet.

Mehr lesen

Factsheet ISO 27001
Flyer

Factsheet ISO/IEC 27001

Erfahren Sie, wieso die Norm ISO/IEC 27001 wichtig für Ihr Unternehmen ist.

Download

ISO 27001Whitepaper
White Paper

ISO/IEC 27001 White Paper

Erfahren Sie mehr über die Inhalte der ISO/IEC 27001 und über ISMS.

Download

Next steps

WORLDWIDE

Germany

German