Im Februar dieses Jahres wurde die neue ISO/IEC 27002:2022-02 veröffentlicht. Sie ersetzt die ISO/IEC 27002:2013-10 und praktisch auch die deutsche Norm DIN EN ISO/IEC 27002:2017.
Was ist überhaupt die ISO/IEC 27002?
Die ISO/IEC 27002 ist ein Leitfaden, in dem diverse Informationssicherheitsmaßnahmen beschrieben werden, die in vielen verschiedenen Organisationen üblicherweise angewendet werden können. Sie ist für Organisationen aller Arten und Größen konzipiert und unterstützt insbesondere bei der Erfüllung der Anforderungen aus dem Annex A der ISO/IEC 27001. Des Weiteren kann die ISO/IEC 27002 auch als Leitfaden für Organisationen verwendet werden, die allgemein anerkannte Informationssicherheitsmaßnahmen festlegen und implementieren wollen ohne ein Managementsystem nach ISO/IEC 27001 zu betreiben.
Was ist neu?
Zunächst der Titel: Aus „Information technology — Security techniques — Code of practice for information security controls“ wird „Information security, cybersecurity and privacy protection — Information security controls“.
Zudem wurde die Struktur des Dokuments geändert. Die bisher 14 Abschnitte mit ihren 35 Maßnahmenzielen und 114 Controls (Maßnahmen) wurden abgeschafft. Diverse Controls wurden inhaltlich zusammengelegt und aktualisiert; folgende Controls sind neu hinzugekommen:
- Threat intelligence
- Information security for use of cloud services
- ICT Readiness for Business Continuity
- Physical security monitoring
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Monitoring activities
- Web filtering
- Secure coding
Zu den neuen Controls und was die neue ISO/IEC 27002 für zertifizierte Informationssicherheits-Managementsysteme bedeutet, werden wir in weiteren Beiträgen hier im Blog berichten.
Zur Struktur der ISO/IEC 27002
Durch die Änderung der Struktur werden nun insgesamt 93 Controls in vier Themen kategorisiert:
- Organizational Controls (37 Controls)
- People Controls (8 Controls)
- Physical Controls (14 Controls)
- Technological Controls (34 Controls)
Die Kategorien wiederum werden mit Attributen verknüpft, um die Controls zu sortieren bzw. zu filtern. Damit können verschiedene Ansichten erstellt werden, die es ermöglichen, Themen aus einer bestimmten Perspektive zu betrachten und zielgruppengerecht darzustellen. Die Attribute sind:
a. Control type (#Preventive, #Detective, #Corrective)
Hierbei wird der Blick darauf gelenkt, wann und wie die Maßnahme das Risiko in Bezug auf das Auftreten eines Informationssicherheitsvorfalls verändert. Diese können präventiv (Maßnahmen, die das Auftreten eines Informationssicherheitsvorfalls verhindern sollen), detektivisch (Maßnahmen, die wirken, wenn ein Informationssicherheitsvorfall eingetreten ist) und korrektiv (Maßnahmen, die wirken, nachdem ein Informationssicherheitsvorfall eingetreten ist) sein.
b. Information security properties (#Confidentiality, #Integrity, #Availability)
Hier wird dargestellt, auf welche Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) das Control wirkt.
c. Cybersecurity concepts (#Identify, #Protect, #Detect, #Respond, #Recover)
Hier liegt die Perspektive auf der Zuordnung von Controls zu Cybersicherheitskonzepten, die in dem in ISO/IEC TS 27110 beschriebenen Cybersicherheitsrahmen definiert sind.
d. Operational capabilities (bspw. #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security)
Hier sind operative Fähigkeiten der Informationssicherheit im Fokus, möglicherweise können diese Attribute insbesondere bei der Durchführung von Audits hilfreich sein.
e. Security domains (#Governance_and_Ecosystem, #Protection, #Defence, #Resilience)
Der Fokus liegt hier auf einzelnen Teilbereichen der Informationssicherheit.
Um eigene Organisationssichten zu schaffen, können die Attribute auch erweitert werden. Der Annex A der ISO/IEC 27002 enthält Tabellen zur Veranschaulichung der Verwendung.
Und jetzt?
Die Änderung der ISO/IEC 27002 erfordert auch eine Änderung vom Annex A der ISO/IEC 27001, deren finalisierte Veröffentlichung in der nächsten Zeit zu erwarten ist.
Insbesondere für Organisationen, die ein ISMS nach ISO/IEC 27001 betreiben oder auf dem Weg dorthin sind, ist es daher ratsam, sich mit den neuen Anforderungen der ISO/IEC 27002 vertraut zu machen. Im Annex B gibt es zur Unterstützung der Migration ein Mapping zu den Controls der Vorgängerversion der ISO/IEC 27002 aus dem Jahr 2013.
Für zertifizierte ISMS und laufende Zertifizierungsverfahren dürfte es nach Veröffentlichung der finalisierten ISO/IEC 27001 eine Übergangsfrist im Rahmen einer sog. „transition phase“ geben. Bei der letzten großen Migration von den Versionen 2005 auf 2013 waren diese ein Jahr für Erst- und Re-Zertifizierungen und bis zu drei Jahre für Überwachungsaudits. Auch dazu werden wir Sie in unserem Blog auf dem Laufenden halten.