Die neue ISO/IEC 27002:2022 – neue Struktur für Informationssicherheit

Mit der Veröffentlichung der neuen Version der ISO/IEC 27002 hat sich das ISO-Standardisierungsgremium viel Zeit gelassen. Im Regelfall haben ISO-Normen einen Zyklus von fünf Jahren, hier sind es neun Jahre. Die ISO/IEC 27002:2022 löst die ISO/IEC 27002:2013 ab und bringt einige Änderungen mit sich. Allein der Blick auf den Titel „Information security, cybersecurity and privacy protection — Information security controls“ zeigt, dass die neue Version einen umfassenderen Blick auf Informationssicherheit hat (Cybersecurity) und auch der Datenschutz (Privacy Protection) in den Fokus rückt. Zum Vergleich der Titel der ISO/IEC 27002:2013: „Information technology — Security techniques — Code of practice for information security controls“.

Grundsätzlich ist die internationale Norm ISO/IEC 27002 ein wichtiger Bestandteil der 27000-Normenreihe. Sie definiert allgemeine Maßnahmen (Controls) für eine höhere Informationssicherheit und konkretisiert die Anforderungen an die im Anhang A der ISO/IEC 27001 aufgeführten Maßnahmen. Sie enthält weiterführende Hinweise zur Umsetzung der dort aufgeführten Controls.

Die ISO/IEC 27002 ist jedoch nicht verpflichtend für Unternehmen und kann nicht zertifiziert werden. Sie dient aber beim Aufbau von Informationssicherheits-Managementsystemen (ISMS) oft als Leitfaden. Da sich die Struktur der ISO/IEC 27002:2022 stark von der alten Version unterscheidet, ist damit zu rechnen, dass die für den Aufbau eines ISMS relevante Norm ISO/IEC 27001 und andere ISO-27000-Normen in den nächsten Monaten entsprechend angepasst werden.

Auffälligste Veränderung ist die völlig neue Struktur der Maßnahmen (Controls), die sich grundlegend von der bisher gültigen Version unterscheidet. Anstatt bisher 114 Maßnahmen in 14 Bereichen gibt es in der ISO 27002:2022 nur noch 93 Maßnahmen. Diese sind in folgende vier Themen-Kategorien aufgeteilt (Zahl der Maßnahmen in Klammern):

1. Organisatorische Maßnahmen (37)
2. Personenbezogene Maßnahmen (8)
3. Physische Maßnahmen (14)
4. Technische Maßnahmen (34)

Von den bisherigen Maßnahmen fiel nur eine einzige Maßnahme weg (A.11.2.5 Entfernen von Werten/Assets). Andere Maßnahmen wurden zur besseren Übersicht zu inhaltlich ähnlichen Themen zusammengefasst. Neu hinzu kamen insgesamt 11 Maßnahmen. Darunter beispielsweise Controls wie Threat Intelligence, Informationssicherheit in Cloud-Diensten, Überwachung des physischen Zutritts oder Konfigurations-Management.

Jedes einzelne Control enthält weitere Informationen wie eine Beschreibung, einen Vorschlag für die Umsetzung sowie neuerdings auch den Zweck der Maßnahme (vermeidet Diskussionen mit dem Auditor) und vor allem eine Tabelle mit zusätzlichen Attributen. Letztere sollen für mehr Klarheit sorgen und eine weitere Option zum Sortieren oder Filtern der Maßnahmen bieten. Die Tabelle enthält für jede Maßnahme folgende Attribute:

• Control type: Dieses Attribut zeigt die Wirkungsweise der entsprechenden Maßnahmen beim Auftreten eines Sicherheitsvorfalls. Die Attributwerte sind Preventive (Control wirkt, bevor ein Vorfall auftritt), Detective (Control wirkt beim Auftreten eines Vorfalls) und Corrective (Control wirkt, nachdem Vorfall eingetreten ist).
• Information security property: Die Eigenschaften der Informationssicherheit beschreiben die klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.
• Cybersecurity concepts: Das Attribut „Cybersicherheitskonzepte“ betrachtet die zeitliche Abfolge der Maßnahmen auf Basis der in der ISO/IEC 27110 beschriebenen Cybersecurity Frameworks. Die möglichen Attributwerte sind Identify (Identifizieren), Protect (Schützen), Detect (Erkennen), Respond (Reagieren) und Recover (Wiederherstellen).
• Operational capabilities: Zu den operativen Fähigkeiten gehören Attribute wie Governance, Identity and Access Management, Netzwerksicherheit oder physische Sicherheit.
• Security Domains: Der Bereich Sicherheitsdomänen umfasst folgende vier Attributwerte für Maßnahmen: Governance and Ecosystem (umfasst u. a. Risikomanagement und die Sicherheit externer Dienstleister), Protection (umfasst u. a. physische Sicherheit, Identity and Access Management, oder IT-Security-Administration), Defence (Incident Management) und Resilience (Business Continuity).

Wie bereits erwähnt, konkretisiert die ISO/IEC 27002 die Anforderungen an die im Anhang A der ISO/IEC 27001 aufgeführten Maßnahmen für eine höhere Informationssicherheit. Sie wird daher oft zusätzlich als eine Art Leitfaden beim Aufbau eines ISMS genutzt. Doch mit der Veröffentlichung der neuen ISO/IEC 27002:2022 besteht für Unternehmen, die bereits ein ISMS implementiert und zertifiziert haben, kein Grund zur Eile oder Panik. Denn für die Zertifizierung bildet weiterhin die aktuelle ISO/IEC 27001:2013 den Standard. Sie bezieht sich im Maßnahmenkatalog im Anhang A auf die bisherige Version der ISO 27002:2013.

Es ist aber damit zu rechnen, dass das ISO-Gremium die ISO/IEC 27001 und insbesondere die Controls im Anhang A noch dieses Jahr an die neue Struktur der ISO/IEC 27002 anpassen wird, um die Standards zu synchronisieren. Danach wird es ab dem Monat der Veröffentlichung wie üblich eine Übergangsfrist von bis zu zwei Jahren geben. Unternehmen, die bereits ein ISMS nach der aktuellen ISO/IEC 27001 umgesetzt haben, haben deshalb noch etwas Zeit für die Umsetzung. Sie sollten sich am besten aber bereits jetzt mit der neuen Maßnahmenstruktur der ISO/IEC 27002:2022 befassen und den möglichen Änderungsbedarf für ihr bestehendes ISMS analysieren. Dann sind sie gut vorbereitet und können rechtzeitig die notwendigen Ressourcen für die Anpassung des ISMS bereitstellen.

Bei Fragen rund um Informationssicherheit, zur Einführung bzw. der Umsetzung der ISO 27001 oder Datenschutz wenden Sie sich gerne an Ihr Team der aigner business solutions GmbH. Verwenden Sie dazu einfach unser Kontaktformular. Außerdem sind wir für Sie telefonisch in unserer Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 erreichbar.