#27002: Eine erfrischende Normrevision mit schlanker Struktur, neuen Inhalten und zeitgemäßer Verschlagwortung. Im ersten Quartal 2022 ist die Aktualisierung von ISO/IEC 27002 als Vorbote für die zum vierten Quartal 2022 zu erwartende Revision von ISO/IEC 27001 erschienen. Lesen Sie hier, was sich mit der neuen ISO 27002:2022 geändert hat – und was dies mit Blick auf die anstehende Neuerung von ISO 27001:2022 bedeutet.

Loading...

ISO 27002 und ISO 27001

ISO 27002 definiert einen breiten Katalog allgemeiner Sicherheitsmaßnahmen, die Unternehmen bei der Umsetzung der Anforderungen aus dem Annex A von ISO 27001 unterstützen sollten – und hat sich als praxisnaher Standard-Leitfaden in vielen IT- und Security-Abteilungen als anerkanntes Werkzeug etabliert. Anfang 2022 wurde ISO 27002 umfassend überarbeitet und aktualisiert – ein nach Ansicht vieler Experten überfälliger Schritt, wenn man die dynamische Entwicklung in der IT in den vergangenen Jahren betrachtet und weiß, dass Normen alle 5 Jahre auf Aktualität überprüft werden.

Für Unternehmen mit einem Zertifikat nach ISO 27001 – oder Betriebe, die die Zertifizierung demnächst angehen wollen – sind die jetzt auf den Weg gebrachten Neuerungen in doppelter Hinsicht relevant: Zum einen mit Blick auf notwendige Aktualisierungen der eigenen Sicherheitsmaßnahmen; zum anderen aber auch, weil diese Änderungen auf die zum Jahresende erwartete Aktualisierung von  ISO 27001 durchschlagen werden und damit für alle künftigen Zertifizierungen und Rezertifizierungen relevant sein werden. Grund genug also, die neue ISO 27002 genauer unter die Lupe zu nehmen.

Hinweis: ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls. Die Norm ist aktuell nur in englischer Sprache veröffentlicht und kann bei Beuth bestellt werden. Zum Jahresende wird die deutsche Fassung erwartet.

Neue Struktur und neue Themenbereiche

Die erste augenfällige Veränderung in von ISO 27002:2022 ist die aktualisierte und deutlich gestraffte Struktur der Norm: Statt der bislang 114 Sicherheitsmaßnahmen (Controls) in 14 Abschnitten umfasst der Referenzsatz der aktualisierten Version ISO 27002 jetzt noch 93 Controls, die in 4 Themenbereichen übersichtlich untergliedert und zusammengefasst sind:

  • 37 Sicherheitsmaßnahmen im Bereich „Organizational controls“
  • 8 Sicherheitsmaßnahmen im Bereich „People controls“
  • 14 Sicherheitsmaßnahmen im Bereich „Physical controls“
  • 34 Sicherheitsmaßnahmen im Bereich „Technological controls“

Trotz der reduzierten Anzahl von Sicherheitsmaßnahmen wurde lediglich das Control „Removal of Assets“ tatsächlich gestrichen. Die Verschlankung ist darauf zurückzuführen, dass 24 Sicherheitsmaßnahmen aus bestehenden Controls zusammengefasst und neu strukturiert wurden, um den Schutzzielen fokussierter gerecht zu werden. Weitere 58 Sicherheitsmaßnahmen wurden überarbeitet und mit zeitgemäßen Anforderungen angepasst.

Die Neuauflage von ISO 27002 gibt den Informationssicherheits-Verantwortlichen einen präzisen Ausblick auf die Änderungen, die mit der Neuauflage von ISO 27001 zum neuen Zertifizierungsstandard werden.

Markus Jegelka DQS-Experte & Auditor für Informationssicherheit

Neue Sicherheitsmaßnahmen

Darüber hinaus – und das ist der wahrscheinlich spannendste Teil der Aktualisierung – wurde ISO 27002 in der neuen Version um 11 zusätzliche Sicherheitsmaßnahmen erweitert. Für Security-Experten wird keine dieser Maßnahmen überraschend sein, in der Summe setzen sie aber ein starkes Signal und helfen Unternehmen dabei, ihre Organisationsstrukturen und Sicherheitsarchitekturen zeitgemäß gegen heutige und zukünftige Bedrohungsszenarien zu wappnen.

Die neuen Maßnahmen sind:

Threat Intelligence

Die Erfassung, Konsolidierung und Analyse aktueller Bedrohungsinformationen ermöglicht Unternehmen, sich in einem zunehmend dynamischen und sich ständig weiterentwickelnden Bedrohungsumfeld auf dem Laufenden zu halten. Die evidenzbasierte Analyse von Informationen über Angriffe wird künftig eine Schlüsselrolle in der Informationssicherheit zur Entwicklung bestmöglicher Verteidigungsstrategien übernehmen.

Information Security for the Use of Cloud Services

Viele Unternehmen verlassen sich heute auf Cloud-basierte Services. Damit verbunden sind neue Angriffsvektoren und einhergehend veränderte und deutlich größere Angriffsflächen. In Zukunft müssen Unternehmen angemessene Schutzmaßnahmen für deren Einführung, Nutzung, Administration berücksichtigen und in ihren vertraglichen Regeln mit Cloud Service Providern verbindlich festlegen.

ICT Readiness for Business Continuity

Die Verfügbarkeit der Informations- und Kommunikationstechnik (IKT) und ihrer Infrastrukturen ist essentiell für den laufenden Geschäftsbetrieb in Unternehmen. Grundlage für resiliente Organisationen sind geplante Geschäftskontinuitätsziele und daraus abgeleitete, umgesetzte und überprüfte IKT‑Kontinuitätsanforderungen. Die Anforderungen an die zeitnahe, technische Wiederherstellung der IKT nach einem Ausfall begründen tragfähige Business-Continuity-Konzepte.

Physical Security Monitoring

Einbrüche, bei denen sensible Daten oder Datenträger aus dem Unternehmen gestohlen oder kompromittiert werden, stellen für Unternehmen ein erhebliches Risiko dar. Technische Kontrollen und Überwachungssysteme haben sich bewährt, um potenzielle Eindringlinge abzuschrecken bzw. deren Eindringen unmittelbar zu detektieren. Diese werden künftig Standardbausteine ganzheitlicher Sicherheitskonzepte zum Erkennen und Abschrecken unbefugten physischen Zutritts sein.

Configuration Management

Fehlerhaft konfigurierte Systeme können von Angreifern missbraucht werden, um Zugang zu kritischen Ressourcen zu erhalten. Während zuvor das systematische Konfigurationsmanagement als Teilmenge des Änderungsmanagements unterrepräsentiert war, wird es jetzt als eigenständige Sicherheitsmaßnahme fokussiert. Es fordert Unternehmen auf, die korrekte Konfiguration von Hardware, Software, Diensten und Netzen zu überwachen und ihre Systeme angemessen zu härten.

Information Deletion

Seit dem Inkrafttreten der Datenschutz-Grundverordnung müssen Unternehmen über geeignete Mechanismen verfügen, um personenbezogene Daten auf Wunsch zu löschen und sicherzustellen, dass diese nicht länger gespeichert werden als nötig. Diese Anforderung wird in ISO 27002 auf alle Informationen ausgeweitet. Sensible Informationen sollten nicht länger als nötig aufbewahrt werden, um das Risiko einer unerwünschten Offenlegung zu vermeiden.

iso-27001-anhang-a-dqs-auditleitfaden-kostenfrei.png
Loading...

DQS-Auditleitfaden zu ISO 27001

Wertvolles Wissen

Unser Auditleifaden ISO 27001 – Annex A wurde von führenden Experten als praktische Umsetzungshilfe erstellt und eignet sich hervorragend, um ausgewählte Normanforderungen besser zu verstehen. Der Leitfaden bezieht sich noch nicht auf die für Ende 2022 erwartete revidierte ISO 27001. 

Data Masking

Ziel dieser Sicherheitsmaßnahme ist der Schutz sensibler Daten bzw. Datenelemente (z.B. personenbezogene Daten) durch Maskierung, Pseudonymisierung oder Anonymisierung. Der Rahmen für die angemessene Umsetzung dieser technischen Maßnahmen wird durch rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen vorgegeben.

Data Leakage Prevention

Um das Risiko der unbefugten Offenlegung und Extraktion sensibler Daten aus Systemen, Netzwerken und anderen Geräten zu mindern sind vorbeugende Sicherheitsmaßnahmen erforderlich. Mögliche Kanäle für unkontrollierten Abfluss dieser identifizierten und klassifizierten Informationen (z.B. E-Mail, Dateiübertragungen, mobile Geräte und tragbare Speichergeräte) sollten überwacht werden und ggf. durch aktive Maßnahmen zur Verhinderung technisch unterstützt werden (z.B. E-Mail-Quarantäne).

Monitoring Activities

Systeme zur Überwachung von Anomalien in Netzen, Systemen und Anwendungen gehören mittlerweile zum Standardrepertoire in IT-Abteilungen. Ebenso hat die Forderung nach Einsatz von Systemen zur Angriffserkennung Einzug in aktuelle gesetzliche und regulatorische Regelungen gefunden. Die kontinuierliche Überwachung, automatische Erfassung und Auswertung geeigneter Parameter und Merkmale aus dem laufenden IT-Betrieb sind ein Muss in der proaktiven Cyberabwehr und wird die Technologien in diesem Bereich weiter vorantreiben.

Web Filtering

Viele nicht vertrauenswürdige Webseiten infizieren Besucher mit Malware oder lesen deren persönliche Daten aus. Über moderne URL-Filter lassen sich potenziell gefährliche Webseiten automatisch filtern, um die Endnutzer zu schützen. Die Sicherheitsmaßnahmen und Lösungen zur Absicherung gegen bösartige Inhalte externer Websites sind wesentlicher Bestandteil in einer global vernetzten Geschäftswelt.

Secure Coding

Schwachstellen im eigenentwickelten Code oder in Open-Source-Komponenten sind ein gefährlicher Angriffspunkt, über den Cyberkriminelle leicht Zugang zu kritischen Daten und Systemen erhalten können. Zeitgemäße Richtlinien zur Softwareentwicklung, automatisierte Testverfahren, Freigabeverfahren für Code-Änderungen, Wissensmanagement für Entwickler, aber auch durchdachte Patch- und Update-Strategien erhöhen das Schutzniveau erheblich.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Schwachstellenmanagement im Kontext von ISO 27001

Webinaraufzeichnung

In unserer kostenfreien Webinaraufzeichnung erhalten Sie folgende Informationen:
✓ Was sagt der normative Anhang A zu technischen Schwachstellen?
✓ Anforderungen zur Informationssicherheitsrisikobeurteilung
✓ Schwachstellenmanagement – der immerwährende Prozess

Attribute und Attributwerte

Eine weitere Neuerung wurde mit ISO 27002:2022 erstmals eingeführt, um Security‑Verantwortlichen die Orientierung im breiten Maßnahmenmix zu erleichtern: In Anhang A der Norm sind für jede Maßnahme fünf Attribute mit zugehörigen Attributwerten hinterlegt.

Die Attribute und Attributwerte sind:

Control types

  • Wirkung auf Risikoergebnis eines IS-Vorfalls
  • #preventive   #detective   #corrective

Information security properties

  • Wirkung auf Schutzziele der Informationssicherheit
  • #Confidentiality   #Integrity   #Availability

Cybersecurity concepts

  • Einordnung in NIST Cybersecurity Framework
  • #Identify   #Protect   #Detect   #Respond   #Recover

Operational capabilities

  • Operative Fähigkeiten
  • #Application security   #Asset management   #Continuity   #Data protection   #Governance   #Human resource security   #Identity and access management   #Information security event management   #Legal and compliance   #Physical security   #Secure configuration   #Security assurance   #Supplier relationships security   #System and network security   #Threat and vulnerability management

Security domains

  • NIS Sicherheitsdomänen (ENISA)
  • #Governance_and_Ecosystem   #Protection   #Defence   #Resilience

 

Die mit Hashtags markierten Attributwerte sollen es Sicherheitsverantwortlichen leichter machen, sich im breiten Maßnahmenkatalog des Standard-Leitfadens zu orientieren und diesen gezielt zu durchsuchen und zu bewerten.

ISO 27002 Änderungen: Ein Fazit

Die Neuauflage von ISO 27002 gibt den Informationssicherheits-Verantwortlichen einen präzisen Ausblick auf die Änderungen, die mit der Neuauflage von ISO 27001 zum neuen Zertifizierungsstandard werden. Dabei halten sich die Neuerungen in einem überschaubaren Rahmen: Die Neustrukturierung des Maßnahmenkatalogs macht die Norm transparenter und ist mit Blick auf die steigende Komplexität und die abnehmende Transparenz der Security-Architekturen zweifellos ein Schritt in die richtige Richtung. Auch die neu inkludierten Maßnahmen werden für erfahrene Security-Experten nicht überraschend kommen und modernisieren den in die Jahre gekommenen ISO-Standard ganz erheblich.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Zertifizierung nach ISO 27001

Mit welchem Aufwand müssen Sie rechnen, um Ihr ISMS nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich kostenfrei und unverbindlich.

Wir freuen uns auf das Gespräch mit Ihnen.

Das bedeutet das Update für Ihre Zertifizierung

Nach ISO 27001 zertifizierte Unternehmen müssen mit Blick auf die nächsten Audits zur Zertifizierung oder Rezertifizierung also nicht bange sein: Im Kern bleibt der vertraute Standard erhalten, und viele der neuen Maßnahmen dürften in den Best Practices der Unternehmen ohnehin bereits verankert sein. Dennoch sind die Teams gut beraten, wie bei jeder anderen Zertifizierung ausreichend Vorlauf einzuplanen und die Auditierung des Informationssicherheitsmanagementsystems (ISMS) sorgfältig vorzubereiten. Zeitlicher Druck herrscht nicht: Nach der Veröffentlichung der Norm (die voraussichtlich im vierten Quartal 2022 erfolgen wird) bleibt für die Umstellung auf die neue ISO 27001:2022 eine Frist von 36 Monaten.

Bei der DQS in guten Händen

Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.

Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fragen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.

Autor
André Säckel

Produktmanager bei der DQS für Informationssicherheitsmanagement. Als Normexperte für den Bereich Informationssicherheit und IT-Sicherheitskatalog (Kritische Infrastrukturen) verantwortet André Säckel unter anderem folgende Normen und branchenspezifische Standards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (Informationssicherheit in der Automobilindustrie). Zudem ist er Mitglied in der Arbeitsgruppe ISO/IEC JTC 1/SC 27/WG 1 als nationaler Delegierter des DIN.

Loading...
<p>DQS-Normexperte Informationssicherheit</p>