#27002: Eine er­fri­schen­de Norm­re­vi­si­on mit schlan­ker Struk­tur, neuen Inhalten und zeitgemäßer Ver­schlag­wor­tung. Im ersten Quartal 2022 ist die Ak­tua­li­sie­rung von ISO/IEC 27002 als Vorbote für die im vierten Quartal 2022 veröffentlichte Revision von ISO/IEC 27001 er­schie­nen. Lesen Sie hier, was sich mit der neuen ISO 27002:2022 geändert hat – und was dies mit Blick auf die Änderungen der in­ter­na­tio­na­len Zertifizierungsnorm ISO 27001:2022 be­deu­tet.

Loading...

ISO 27002 und ISO 27001

ISO 27002 definiert einen breiten Katalog allgemeiner Sicherheitsmaßnahmen (Controls), die Unternehmen bei der Umsetzung der Anforderungen aus dem Annex A von ISO 27001 unterstützen sollen. Der praxisnahe Standard-Leitfaden hat sich in vielen IT-Abteilungen und Security-Abteilungen als anerkanntes Werkzeug etabliert.

Anfang 2022 wurde ISO 27002 umfassend überarbeitet und aktualisiert – ein nach Ansicht vieler Experten überfälliger Schritt, wenn man die dynamische Entwicklung in der IT in den vergangenen Jahren betrachtet und weiß, dass Normen alle 5 Jahre auf Aktualität überprüft werden.

Für Unternehmen mit einem Zertifikat nach ISO 27001 – oder Organisationen, die die Zertifizierung demnächst angehen wollen – sind die jetzt auf den Weg gebrachten Neuerungen in doppelter Hinsicht relevant:
- zum einen mit Blick auf notwendige Aktualisierungen der eigenen Sicherheitsmaßnahmen
- zum anderen, weil diese Änderungen auch auf die im Oktober 2022 veröffentlichte neue ISO 27001:2022 durchgeschlagen haben und damit für alle künftigen Zertifizierungen und Rezertifizierungen relevant sein werden.

Grund genug also, die revidierte ISO 27002 genauer unter die Lupe zu nehmen.

DIN EN ISO/IEC 27002:2024-01 – In­for­ma­ti­ons­si­cher­heit, Cy­ber­si­cher­heit und Schutz der Privatsphäre – Informationssicherheitsmaßnahmen

Die deutsche Norm über den Beuth Verlag bezogen werden. 

Revision ISO 27002: neue Struktur und neue Themenbereiche

Die erste augenfällige Veränderung in ISO/IEC 27002:2022 ist die aktualisierte und deutlich gestraffte Struktur der Norm: Statt der bislang 114 Sicherheitsmaßnahmen (Controls) in 14 Abschnitten umfasst der Referenzsatz der aktualisierten Version ISO 27002 jetzt nur noch 93 Controls, die in 4 Themenbereichen übersichtlich untergliedert und zusammengefasst sind:

  • 37 Sicherheitsmaßnahmen im Bereich „Organisatorische Maßnahmen“
  • 8 Sicherheitsmaßnahmen im Bereich „Personenbezogene Maßnahmen“
  • 14 Sicherheitsmaßnahmen im Bereich „Physische Maßnahmen“
  • 34 Sicherheitsmaßnahmen im Bereich „Technische Maßnahmen

Trotz der reduzierten Anzahl von Sicherheitsmaßnahmen wurde lediglich das Control „Removal of Assets“ tatsächlich gestrichen. Die Verschlankung ist darauf zurückzuführen, dass 24 Sicherheitsmaßnahmen aus bestehenden Controls zusammengefasst und neu strukturiert wurden, um den Schutzzielen der Informationssicherheit besser gerecht zu werden. Weitere 58 Controls wurden überarbeitet und den zeitgemäßen Anforderungen angepasst.

Die Neu­auf­la­ge von ISO 27002 gibt den In­for­ma­ti­ons­si­cher­heits-Ver­ant­wort­li­chen einen prä­zi­sen Ausblick auf die Än­de­run­gen, die mit der Über­ar­bei­tung von ISO 27001 zum neuen Zer­ti­fi­zie­rungs­stan­dard geworden sind.

Markus Jegelka DQS-Experte & Auditor für Informationssicherheit

Neue Sicherheitsmaßnahmen

Darüber hinaus – und das ist der wahrscheinlich spannendste Teil der Aktualisierung – wurde ISO/IEC 27002 in der neuen Version um 11 zusätzliche Sicherheitsmaßnahmen erweitert. Für Security-Experten wird keine dieser Maßnahmen überraschend sein. In der Summe setzen die neuen Controls aber ein starkes Signal und helfen Unternehmen dabei, ihre Organisationsstrukturen und Sicherheitsarchitekturen zeitgemäß gegen heutige und zukünftige Bedrohungsszenarien zu wappnen.

Die neuen Maßnahmen sind:

Informationen über die Bedrohungslage

Die Erfassung, Konsolidierung und Analyse aktueller Bedrohungsinformationen ermöglicht Unternehmen, sich in einem zunehmend dynamischen und sich ständig weiterentwickelnden Bedrohungsumfeld auf dem Laufenden zu halten. Die evidenzbasierte Analyse von Informationen über Angriffe wird künftig eine Schlüsselrolle in der Informationssicherheit zur Entwicklung bestmöglicher Verteidigungsstrategien übernehmen.

Informationssicherheit in der Cloud

Viele Unternehmen verlassen sich heute auf Cloud-basierte Services. Damit verbunden sind neue Angriffsvektoren und einhergehend veränderte und deutlich größere Angriffsflächen. In Zukunft müssen Unternehmen angemessene Schutzmaßnahmen für deren Einführung, Nutzung, Administration berücksichtigen und in ihren vertraglichen Regeln mit Cloud Service Providern verbindlich festlegen, um die Sicherheit in der Cloud künftig zu gewährleisten.

IKT-Bereitschaft für Business Continuity

Die Verfügbarkeit der Informations- und Kommunikationstechnik (IKT) und ihrer Infrastrukturen (IKT-Sicherheit) ist essentiell für den laufenden Geschäftsbetrieb in Unternehmen. Grundlage für resiliente Organisationen sind geplante Geschäftskontinuitätsziele und daraus abgeleitete, umgesetzte und überprüfte IKT‑Kontinuitätsanforderungen. Die Anforderungen an die zeitnahe, technische Wiederherstellung der IKT nach einem Ausfall begründen tragfähige Business-Continuity-Konzepte.

Cover sheet for german whitepaper iso 27001 new controls with pdf
Loading...

ISO 27001:2022 – Controls im neuen Anhang A

Kos­ten­frei­es White­pa­per

Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Con­trols) im Anhang A können Sie si­cher­stel­len, dass Ihre Or­ga­ni­sa­ti­on optimal gegen moderne Be­dro­hun­gen geschützt ist. 

Profitieren Sie von Know-how unserer Ex­per­ten. Erfahren Sie alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Um­set­zung zu beachten ist.

Physische Sicherheitsüberwachung

Einbrüche, bei denen sensible Daten oder Datenträger aus dem Unternehmen gestohlen oder kompromittiert werden, stellen für Unternehmen ein erhebliches Risiko dar. Technische Kontrollen und Überwachungssysteme haben sich bewährt, um potenzielle Eindringlinge abzuschrecken beziehungsweise deren Eindringen unmittelbar zu detektieren. Diese werden künftig Standardbausteine ganzheitlicher Sicherheitskonzepte zum Erkennen und Abschrecken unbefugten physischen Zutritts sein.

Konfigurationsmanagement

Fehlerhaft konfigurierte Systeme können von Angreifern missbraucht werden, um Zugang zu kritischen Ressourcen zu erhalten. Während zuvor das systematische Konfigurationsmanagement als Teilmenge des Änderungsmanagements unterrepräsentiert war, wird es jetzt als eigenständige Sicherheitsmaßnahme fokussiert. Es fordert Unternehmen auf, die korrekte Konfiguration von Hardware, Software, Diensten und Netzen zu überwachen und ihre Systeme angemessen zu härten.

Löschung von Informationen

Seit dem Inkrafttreten der Datenschutz-Grundverordnung müssen Unternehmen über geeignete Mechanismen verfügen, um personenbezogene Daten auf Wunsch zu löschen und sicherzustellen, dass diese nicht länger gespeichert werden als nötig. Diese Anforderung wird in ISO 27002 auf alle Informationen ausgeweitet. Sensible Informationen sollten nicht länger als nötig aufbewahrt werden, um das Risiko einer unerwünschten Offenlegung zu vermeiden.

Datenmaskierung

Ziel dieser Sicherheitsmaßnahme ist der Schutz sensibler Daten und Datenelemente, zum Beispiel personenbezogene Daten, durch Maskierung, Pseudonymisierung oder Anonymisierung. Der Rahmen für die angemessene Umsetzung dieser technischen Maßnahmen zur Informationssicherheit wird durch rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen vorgegeben.

Verhinderung von Datenlecks

Um das Risiko der unbefugten Offenlegung und Extraktion sensibler Daten aus Systemen, Netzwerken und anderen Geräten zu mindern sind vorbeugende Sicherheitsmaßnahmen erforderlich. Mögliche Kanäle für unkontrollierten Abfluss dieser identifizierten und klassifizierten Informationen, zum Beispiel E-Mail, Dateiübertragungen, mobile Geräte und tragbare Speichergeräte, sollten überwacht werden und gegebenenfalls durch aktive Maßnahmen zur Verhinderung technisch unterstützt werden (E-Mail-Quarantäne).

Überwachung von Aktivitäten

Systeme zur Überwachung von Anomalien in Netzen, Systemen und Anwendungen gehören mittlerweile zum Standardrepertoire in IT-Abteilungen. Ebenso hat die Forderung nach Einsatz von Systemen zur Angriffserkennung Einzug in aktuelle gesetzliche und regulatorische Regelungen gefunden. Die kontinuierliche Überwachung, automatische Erfassung und Auswertung geeigneter Parameter und Merkmale aus dem laufenden IT-Betrieb sind ein Muss in der proaktiven Cyberabwehr und wird die Technologien in diesem Bereich weiter vorantreiben.

Webfilterung

Viele nicht vertrauenswürdige Webseiten infizieren Besucher mit Malware oder lesen deren persönliche Daten aus. Über moderne URL-Filter lassen sich potenziell gefährliche Webseiten automatisch filtern, um die Endnutzer zu schützen. Die Sicherheitsmaßnahmen und Lösungen zur Absicherung gegen bösartige Inhalte externer Websites sind wesentlicher Bestandteil in einer global vernetzten Geschäftswelt.

Sichere Codierung

Schwachstellen im eigenentwickelten Code oder in Open-Source-Komponenten sind ein gefährlicher Angriffspunkt, über den Cyberkriminelle leicht Zugang zu kritischen Daten und Systemen erhalten können. Zeitgemäße Richtlinien zur Softwareentwicklung, automatisierte Testverfahren, Freigabeverfahren für Code-Änderungen, Wissensmanagement für Entwickler, aber auch durchdachte Patch- und Update-Strategien erhöhen durch Secure Coding das Schutzniveau erheblich.

Attribute und Attributwerte

Eine weitere Neuerung wurde mit ISO 27002:2022 erstmals eingeführt, um Security‑Verantwortlichen die Orientierung im breiten Maßnahmenmix zu erleichtern: In Anhang A der Norm sind für jede Maßnahme fünf Attribute mit zugehörigen Attributwerten hinterlegt.

Die mit Hashtags markierten Attributwerte sollen es Sicherheitsverantwortlichen leichter machen, sich im breiten Maßnahmenkatalog des Standard-Leitfadens zu orientieren und diesen gezielt zu durchsuchen und zu bewerten.

Die Attribute und Attributwerte sind:

Maßnahmenart (Control types)

  • Maßnahmenart ist ein Attribut für die Sicht auf die Maßnahmen unter dem Gesichtspunkt, wann und wie eine Maßnahme das Risiko in Bezug auf das Auftreten eines Informationssicherheitsvorfalls verändert.
  • Attributwerte: #Präventiv, #Detektiv, #Korrektiv

Informationssicherheitseigenschaften (Information security properties)

  • Informationssicherheitseigenschaften sind ein Attribut, mit dem Maßnahmen unter dem Gesichtspunkt betrachtet werden können, welches Schutzziel durch die Maßnahme unterstützt werden soll.
  • Attributwerte: #Vertraulichkeit, #Integrität, #Verfügbarkeit

Cybersicherheitskonzepte (Cybersecurity concepts)

  • Cybersicherheitskonzepte betrachtet Maßnahmen aus der Perspektive der Zuordnung von Maßnahmen zu dem in ISO/IEC TS 27110 beschriebenen Cybersicherheitsrahmenwerk.
  • Attributwerte: #Identifizieren, #Schützen, #Erkennen, #Reagieren, #Wiederherstellen

Betriebsfähigkeit (Operational capabilities)

  • Betriebsfähigkeit betrachtet Maßnahmen aus der Perspektive ihrer operativen Informationssicherheitsfähigkeiten und unterstützt eine praktische Anwendersicht auf die Maßnahmen.
  • Attributwerte: #Governance, #Asset_Management, #Informationsschutz, #Sicherheit_der_Humanressourcen, #Physische_Sicherheit, #System- und Netzwerksicherheit, #Anwendungssicherheit, #Sichere_Konfiguration, #Identitäts- und Zugangsverwaltung, #Bedrohungs- und Schwachstellenmanagement, #Kontinuität, #Sicherheit_der_Lieferantenbeziehungen, #Recht_und_Compliance, #Informationssicherheits-Ereignismanagement und #Vertrauenswürdigkeit_in_Bezug_auf_die_Informationssicherheit

Sicherheitsdomänen (Security domains)

  • Sicherheitsdomänen sind ein Attribut, mit dem Maßnahmen aus der Perspektive von vier Informationssicherheitsdomänen betrachtet werden können.
  • Attributwerte: #Governance_und_Ökosystem, #Schutz, #Verteidigung, #Resilienz

Revision ISO 27002 – Ein Fazit

Die Neuauflage von ISO 27002 gab den Informationssicherheits-Verantwortlichen einen präzisen Ausblick auf die Änderungen, die mit der neuen ISO/IEC 27001:2022 zum neuen Zertifizierungsstandard geworden sind.

Dabei halten sich die Neuerungen in einem überschaubaren Rahmen: Die Neustrukturierung des Maßnahmenkatalogs im Anhang A macht die Norm transparenter und ist mit Blick auf die steigende Komplexität und die abnehmende Transparenz der Security-Architekturen zweifellos ein Schritt in die richtige Richtung. Auch die neu inkludierten Sicherheitsmaßnahmen werden für erfahrene Security-Experten nicht überraschend kommen und modernisieren den in die Jahre gekommenen ISO-Standard ganz erheblich.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Zer­ti­fi­zie­rung nach ISO 27001

Mit welchem Aufwand müssen Sie rechnen, um Ihr Informationssicherheits-Managementsystem nach ISO 27001 zer­ti­fi­zie­ren zu lassen? In­for­mie­ren Sie sich kos­ten­frei und un­ver­bind­lich.

Wir freuen uns auf das Gespräch mit Ih­nen.

Das bedeutet das Update für Ihre Zertifizierung

ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:

Letzter Termin für die Erst-/Rezertifizierungsaudits nach der „alten“ ISO 27001:2013

  • seit dem 1. Mai 2024 führt die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen Norm DIN EN ISO/IEC 27001:2022 durch

Umstellung aller bestehenden Zertifikate nach der „alten“ ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022

  • es gilt eine 3-jährige Übergangsfrist ab dem 31. Oktober 2022
  • ausgestellte Zertifikate nach ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 sind längstens bis zum 31. Oktober 2025 gültig oder müssen zu diesem Datum zurückgezogen werden.
Close up portrait of handsome man working from home office taking reading and writing notes in note
Loading...

Zum An­schau­en: Was ändert sich in der neuen ISO/IEC 27001:2022

Kos­ten­freie Web­i­nar­auf­zeich­nung

Norm­wis­sen aus erster Hand

In unserer kos­ten­frei­en Web­i­nar­auf­zeich­nung lernen Sie die we­sent­li­chen Änderungen in der neuen ISO/IEC 27001:2022 kennen. Sie erfahren Wis­sens­wer­tes über die wert­vol­len Maßnahmenempfehlungen im nor­ma­ti­ven Anhang A und neuen Leit­fa­den ISO/IEC 27002:2022.

Bei der DQS in guten Händen

Unsere Zertifizierungsaudits liefern Ihnen Klarheit. Der ganzheitliche, neutrale Blick von außen auf Menschen, Prozesse, Systeme und Ergeb­nisse zeigt, wie wirksam Ihr Managementsystem ist, wie es umgesetzt und beherrscht wird. Wir legen Wert darauf, dass Sie unser Audit nicht als Prüfung, sondern als Bereicherung für Ihr Managementsystem wahrnehmen.

Dabei beginnt unser Anspruch stets dort, wo Auditchecklisten enden. Wir fragen gezielt nach dem „Warum“, weil wir verstehen wollen, aus welchen Motiven heraus Sie einen bestimmten Weg der Umset­zung gewählt haben. Wir richten den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. So erkennen Sie Handlungsoptionen, mit denen Sie Ihr Managementsystem fortlaufend verbessern können.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
André Säckel

Pro­dukt­ma­na­ger bei der DQS für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment. Als Norm­ex­per­te für den Bereich In­for­ma­ti­ons­si­cher­heit und IT-Si­cher­heits­ka­ta­log (Kri­ti­sche In­fra­struk­tu­ren) ver­ant­wor­tet André Säckel unter anderem folgende Normen und bran­chen­spe­zi­fi­sche Stan­dards: ISO 27001, ISIS12, ISO 20000-1, KRITIS und TISAX (In­for­ma­ti­ons­si­cher­heit in der Au­to­mo­bil­in­dus­trie). Zudem ist er Mitglied in der Ar­beits­grup­pe ISO/IEC JTC 1/SC 27/WG 1 als na­tio­na­ler De­le­gier­ter des DIN.

Loading...

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434: Vehicle Cyber Security Audit

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

Er­fah­run­gen mit ISO 27001 – Pra­xis­bei­spiel EN­TER­BRAIN Software

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Kon­fi­gu­ra­ti­ons­ma­nage­ment in der In­for­ma­ti­ons­si­cher­heit