#27002: Eine erfrischende Normrevision mit schlanker Struktur, neuen Inhalten und zeitgemäßer Verschlagwortung. Im ersten Quartal 2022 ist die Aktualisierung von ISO/IEC 27002 als Vorbote für die im vierten Quartal 2022 veröffentlichte Revision von ISO/IEC 27001 erschienen. Lesen Sie hier, was sich mit der neuen ISO 27002:2022 geändert hat – und was dies mit Blick auf die Änderungen der internationalen Zertifizierungsnorm ISO 27001:2022 bedeutet.
ISO 27002 und ISO 27001
ISO 27002 definiert einen breiten Katalog allgemeiner Sicherheitsmaßnahmen (Controls), die Unternehmen bei der Umsetzung der Anforderungen aus dem Annex A von ISO 27001 unterstützen sollen. Der praxisnahe Standard-Leitfaden hat sich in vielen IT-Abteilungen und Security-Abteilungen als anerkanntes Werkzeug etabliert.
Anfang 2022 wurde ISO 27002 umfassend überarbeitet und aktualisiert – ein nach Ansicht vieler Experten überfälliger Schritt, wenn man die dynamische Entwicklung in der IT in den vergangenen Jahren betrachtet und weiß, dass Normen alle 5 Jahre auf Aktualität überprüft werden.
Für Unternehmen mit einem Zertifikat nach ISO 27001 – oder Organisationen, die die Zertifizierung demnächst angehen wollen – sind die jetzt auf den Weg gebrachten Neuerungen in doppelter Hinsicht relevant:
- zum einen mit Blick auf notwendige Aktualisierungen der eigenen Sicherheitsmaßnahmen
- zum anderen, weil diese Änderungen auch auf die im Oktober 2022 veröffentlichte neue ISO 27001:2022 durchgeschlagen haben und damit für alle künftigen Zertifizierungen und Rezertifizierungen relevant sein werden.
Grund genug also, die revidierte ISO 27002 genauer unter die Lupe zu nehmen.
DIN EN ISO/IEC 27002:2024-01 – Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Informationssicherheitsmaßnahmen
Die deutsche Norm über den Beuth Verlag bezogen werden.
Revision ISO 27002: neue Struktur und neue Themenbereiche
Die erste augenfällige Veränderung in ISO/IEC 27002:2022 ist die aktualisierte und deutlich gestraffte Struktur der Norm: Statt der bislang 114 Sicherheitsmaßnahmen (Controls) in 14 Abschnitten umfasst der Referenzsatz der aktualisierten Version ISO 27002 jetzt nur noch 93 Controls, die in 4 Themenbereichen übersichtlich untergliedert und zusammengefasst sind:
- 37 Sicherheitsmaßnahmen im Bereich „Organisatorische Maßnahmen“
- 8 Sicherheitsmaßnahmen im Bereich „Personenbezogene Maßnahmen“
- 14 Sicherheitsmaßnahmen im Bereich „Physische Maßnahmen“
- 34 Sicherheitsmaßnahmen im Bereich „Technische Maßnahmen“
Trotz der reduzierten Anzahl von Sicherheitsmaßnahmen wurde lediglich das Control „Removal of Assets“ tatsächlich gestrichen. Die Verschlankung ist darauf zurückzuführen, dass 24 Sicherheitsmaßnahmen aus bestehenden Controls zusammengefasst und neu strukturiert wurden, um den Schutzzielen der Informationssicherheit besser gerecht zu werden. Weitere 58 Controls wurden überarbeitet und den zeitgemäßen Anforderungen angepasst.
Die Neuauflage von ISO 27002 gibt den Informationssicherheits-Verantwortlichen einen präzisen Ausblick auf die Änderungen, die mit der Überarbeitung von ISO 27001 zum neuen Zertifizierungsstandard geworden sind.
Neue Sicherheitsmaßnahmen
Darüber hinaus – und das ist der wahrscheinlich spannendste Teil der Aktualisierung – wurde ISO/IEC 27002 in der neuen Version um 11 zusätzliche Sicherheitsmaßnahmen erweitert. Für Security-Experten wird keine dieser Maßnahmen überraschend sein. In der Summe setzen die neuen Controls aber ein starkes Signal und helfen Unternehmen dabei, ihre Organisationsstrukturen und Sicherheitsarchitekturen zeitgemäß gegen heutige und zukünftige Bedrohungsszenarien zu wappnen.
Die neuen Maßnahmen sind:
Informationen über die Bedrohungslage
Die Erfassung, Konsolidierung und Analyse aktueller Bedrohungsinformationen ermöglicht Unternehmen, sich in einem zunehmend dynamischen und sich ständig weiterentwickelnden Bedrohungsumfeld auf dem Laufenden zu halten. Die evidenzbasierte Analyse von Informationen über Angriffe wird künftig eine Schlüsselrolle in der Informationssicherheit zur Entwicklung bestmöglicher Verteidigungsstrategien übernehmen.
Informationssicherheit in der Cloud
Viele Unternehmen verlassen sich heute auf Cloud-basierte Services. Damit verbunden sind neue Angriffsvektoren und einhergehend veränderte und deutlich größere Angriffsflächen. In Zukunft müssen Unternehmen angemessene Schutzmaßnahmen für deren Einführung, Nutzung, Administration berücksichtigen und in ihren vertraglichen Regeln mit Cloud Service Providern verbindlich festlegen, um die Sicherheit in der Cloud künftig zu gewährleisten.
IKT-Bereitschaft für Business Continuity
Die Verfügbarkeit der Informations- und Kommunikationstechnik (IKT) und ihrer Infrastrukturen (IKT-Sicherheit) ist essentiell für den laufenden Geschäftsbetrieb in Unternehmen. Grundlage für resiliente Organisationen sind geplante Geschäftskontinuitätsziele und daraus abgeleitete, umgesetzte und überprüfte IKT‑Kontinuitätsanforderungen. Die Anforderungen an die zeitnahe, technische Wiederherstellung der IKT nach einem Ausfall begründen tragfähige Business-Continuity-Konzepte.
ISO 27001:2022 – Controls im neuen Anhang A
Kostenfreies Whitepaper
Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Controls) im Anhang A können Sie sicherstellen, dass Ihre Organisation optimal gegen moderne Bedrohungen geschützt ist.
Profitieren Sie vom Know-how unserer Experten. Erfahren Sie alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Umsetzung zu beachten ist.
Physische Sicherheitsüberwachung
Einbrüche, bei denen sensible Daten oder Datenträger aus dem Unternehmen gestohlen oder kompromittiert werden, stellen für Unternehmen ein erhebliches Risiko dar. Technische Kontrollen und Überwachungssysteme haben sich bewährt, um potenzielle Eindringlinge abzuschrecken beziehungsweise deren Eindringen unmittelbar zu detektieren. Diese werden künftig Standardbausteine ganzheitlicher Sicherheitskonzepte zum Erkennen und Abschrecken unbefugten physischen Zutritts sein.
Konfigurationsmanagement
Fehlerhaft konfigurierte Systeme können von Angreifern missbraucht werden, um Zugang zu kritischen Ressourcen zu erhalten. Während zuvor das systematische Konfigurationsmanagement als Teilmenge des Änderungsmanagements unterrepräsentiert war, wird es jetzt als eigenständige Sicherheitsmaßnahme fokussiert. Es fordert Unternehmen auf, die korrekte Konfiguration von Hardware, Software, Diensten und Netzen zu überwachen und ihre Systeme angemessen zu härten.
Löschung von Informationen
Seit dem Inkrafttreten der Datenschutz-Grundverordnung müssen Unternehmen über geeignete Mechanismen verfügen, um personenbezogene Daten auf Wunsch zu löschen und sicherzustellen, dass diese nicht länger gespeichert werden als nötig. Diese Anforderung wird in ISO 27002 auf alle Informationen ausgeweitet. Sensible Informationen sollten nicht länger als nötig aufbewahrt werden, um das Risiko einer unerwünschten Offenlegung zu vermeiden.
Datenmaskierung
Ziel dieser Sicherheitsmaßnahme ist der Schutz sensibler Daten und Datenelemente, zum Beispiel personenbezogene Daten, durch Maskierung, Pseudonymisierung oder Anonymisierung. Der Rahmen für die angemessene Umsetzung dieser technischen Maßnahmen zur Informationssicherheit wird durch rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen vorgegeben.
Verhinderung von Datenlecks
Um das Risiko der unbefugten Offenlegung und Extraktion sensibler Daten aus Systemen, Netzwerken und anderen Geräten zu mindern sind vorbeugende Sicherheitsmaßnahmen erforderlich. Mögliche Kanäle für unkontrollierten Abfluss dieser identifizierten und klassifizierten Informationen, zum Beispiel E-Mail, Dateiübertragungen, mobile Geräte und tragbare Speichergeräte, sollten überwacht werden und gegebenenfalls durch aktive Maßnahmen zur Verhinderung technisch unterstützt werden (E-Mail-Quarantäne).
Überwachung von Aktivitäten
Systeme zur Überwachung von Anomalien in Netzen, Systemen und Anwendungen gehören mittlerweile zum Standardrepertoire in IT-Abteilungen. Ebenso hat die Forderung nach Einsatz von Systemen zur Angriffserkennung Einzug in aktuelle gesetzliche und regulatorische Regelungen gefunden. Die kontinuierliche Überwachung, automatische Erfassung und Auswertung geeigneter Parameter und Merkmale aus dem laufenden IT-Betrieb sind ein Muss in der proaktiven Cyberabwehr und wird die Technologien in diesem Bereich weiter vorantreiben.
Webfilterung
Viele nicht vertrauenswürdige Webseiten infizieren Besucher mit Malware oder lesen deren persönliche Daten aus. Über moderne URL-Filter lassen sich potenziell gefährliche Webseiten automatisch filtern, um die Endnutzer zu schützen. Die Sicherheitsmaßnahmen und Lösungen zur Absicherung gegen bösartige Inhalte externer Websites sind wesentlicher Bestandteil in einer global vernetzten Geschäftswelt.
Sichere Codierung
Schwachstellen im eigenentwickelten Code oder in Open-Source-Komponenten sind ein gefährlicher Angriffspunkt, über den Cyberkriminelle leicht Zugang zu kritischen Daten und Systemen erhalten können. Zeitgemäße Richtlinien zur Softwareentwicklung, automatisierte Testverfahren, Freigabeverfahren für Code-Änderungen, Wissensmanagement für Entwickler, aber auch durchdachte Patch- und Update-Strategien erhöhen durch Secure Coding das Schutzniveau erheblich.
DQS Praxistag ISMS 2024
Expertenwissen aus erster Hand
Am 13.11.2024 erwartet Sie ein umfangreiches, praxisorientiertes Programm rund um Informationssicherheit, welches Sie bei künftigen gesetzlichen Anforderungen unterstützt. Auszug aus dem Programm:
- NIS2-Compliance durch ISO 27001
- KI im Kontext der Informationssicherheit
- BCM und Informationssicherheit: ein unschlagbares Team
Attribute und Attributwerte
Eine weitere Neuerung wurde mit ISO 27002:2022 erstmals eingeführt, um Security‑Verantwortlichen die Orientierung im breiten Maßnahmenmix zu erleichtern: In Anhang A der Norm sind für jede Maßnahme fünf Attribute mit zugehörigen Attributwerten hinterlegt.
Die mit Hashtags markierten Attributwerte sollen es Sicherheitsverantwortlichen leichter machen, sich im breiten Maßnahmenkatalog des Standard-Leitfadens zu orientieren und diesen gezielt zu durchsuchen und zu bewerten.
Die Attribute und Attributwerte sind:
Maßnahmenart (Control types)
- Maßnahmenart ist ein Attribut für die Sicht auf die Maßnahmen unter dem Gesichtspunkt, wann und wie eine Maßnahme das Risiko in Bezug auf das Auftreten eines Informationssicherheitsvorfalls verändert.
- Attributwerte: #Präventiv, #Detektiv, #Korrektiv
Informationssicherheitseigenschaften (Information security properties)
- Informationssicherheitseigenschaften sind ein Attribut, mit dem Maßnahmen unter dem Gesichtspunkt betrachtet werden können, welches Schutzziel durch die Maßnahme unterstützt werden soll.
- Attributwerte: #Vertraulichkeit, #Integrität, #Verfügbarkeit
Cybersicherheitskonzepte (Cybersecurity concepts)
- Cybersicherheitskonzepte betrachtet Maßnahmen aus der Perspektive der Zuordnung von Maßnahmen zu dem in ISO/IEC TS 27110 beschriebenen Cybersicherheitsrahmenwerk.
- Attributwerte: #Identifizieren, #Schützen, #Erkennen, #Reagieren, #Wiederherstellen
Betriebsfähigkeit (Operational capabilities)
- Betriebsfähigkeit betrachtet Maßnahmen aus der Perspektive ihrer operativen Informationssicherheitsfähigkeiten und unterstützt eine praktische Anwendersicht auf die Maßnahmen.
- Attributwerte: #Governance, #Asset_Management, #Informationsschutz, #Sicherheit_der_Humanressourcen, #Physische_Sicherheit, #System- und Netzwerksicherheit, #Anwendungssicherheit, #Sichere_Konfiguration, #Identitäts- und Zugangsverwaltung, #Bedrohungs- und Schwachstellenmanagement, #Kontinuität, #Sicherheit_der_Lieferantenbeziehungen, #Recht_und_Compliance, #Informationssicherheits-Ereignismanagement und #Vertrauenswürdigkeit_in_Bezug_auf_die_Informationssicherheit
Sicherheitsdomänen (Security domains)
- Sicherheitsdomänen sind ein Attribut, mit dem Maßnahmen aus der Perspektive von vier Informationssicherheitsdomänen betrachtet werden können.
- Attributwerte: #Governance_und_Ökosystem, #Schutz, #Verteidigung, #Resilienz
Revision ISO 27002 – Ein Fazit
Die Neuauflage von ISO 27002 gab den Informationssicherheits-Verantwortlichen einen präzisen Ausblick auf die Änderungen, die mit der neuen ISO/IEC 27001:2022 zum neuen Zertifizierungsstandard geworden sind.
Dabei halten sich die Neuerungen in einem überschaubaren Rahmen: Die Neustrukturierung des Maßnahmenkatalogs im Anhang A macht die Norm transparenter und ist mit Blick auf die steigende Komplexität und die abnehmende Transparenz der Security-Architekturen zweifellos ein Schritt in die richtige Richtung. Auch die neu inkludierten Sicherheitsmaßnahmen werden für erfahrene Security-Experten nicht überraschend kommen und modernisieren den in die Jahre gekommenen ISO-Standard ganz erheblich.
Zertifizierung nach ISO 27001
Mit welchem Aufwand müssen Sie rechnen, um Ihr Informationssicherheits-Managementsystem nach ISO 27001 zertifizieren zu lassen? Informieren Sie sich kostenfrei und unverbindlich.
Wir freuen uns auf das Gespräch mit Ihnen.
Das bedeutet das Update für Ihre Zertifizierung
ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:
Letzter Termin für die Erst-/Rezertifizierungsaudits nach der „alten“ ISO 27001:2013
- seit dem 1. Mai 2024 führt die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen Norm DIN EN ISO/IEC 27001:2022 durch
Umstellung aller bestehenden Zertifikate nach der „alten“ ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022
- es gilt eine 3-jährige Übergangsfrist ab dem 31. Oktober 2022
- ausgestellte Zertifikate nach ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 sind längstens bis zum 31. Oktober 2025 gültig oder müssen zu diesem Datum zurückgezogen werden.
Zum Anschauen: Was ändert sich in der neuen ISO/IEC 27001:2022
Kostenfreie Webinaraufzeichnung
Normwissen aus erster Hand
In unserer kostenfreien Webinaraufzeichnung lernen Sie die wesentlichen Änderungen in der neuen ISO/IEC 27001:2022 kennen. Sie erfahren Wissenswertes über die wertvollen Maßnahmenempfehlungen im normativen Anhang A und neuen Leitfaden ISO/IEC 27002:2022.
Bei der DQS in guten Händen
Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergebnisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.
Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fragen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umsetzung gewählt haben. Wir richten den Blick auf Verbesserungspotenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.
Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.
DQS Newsletter
André Säckel
Produktmanager bei der DQS für Informationssicherheitsmanagement. Als Normexperte für den Bereich Informationssicherheit und IT-Sicherheitskatalog (Kritische Infrastrukturen) verantwortet André Säckel unter anderem folgende Normen und branchenspezifische Standards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (Informationssicherheit in der Automobilindustrie). Zudem ist er Mitglied in der Arbeitsgruppe ISO/IEC JTC 1/SC 27/WG 1 als nationaler Delegierter des DIN.