Die ISO/IEC 27002 ist der internationale Standard, wenn es um allgemeine Sicherheitsmaßnahmen nach Stand der Technik geht. Aus diesem Grund wird von etlichen Gesetzen und regulatorischen Vorgaben auch die Umsetzung der ISO/IEC 27002 gefordert, wenn es um die Etablierung von Sicherheit nach Stand der Technik geht. Darüber hinaus stellt der Standard einen Leitfaden zur Umsetzung der Anforderungen aus dem Annex A der ISO/IEC 27001 dar und wird somit bei nahezu jeder entsprechenden Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) zu Rate gezogen.
Im Januar wurde, nach dreijähriger Überarbeitung, der Entwurf ISO/IEC DIS 27002:2021 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“ (DIS steht für Draft International Standard) veröffentlicht, der sowohl strukturell wie auch inhaltlich deutlich modernisiert und aktualisiert wurde.
Strukturelle und inhaltliche Überarbeitung
In der überarbeiteten Version sind die Maßnahmen (Controls) in einer grundlegend neuen Struktur angeordnet, die von der aktuellen ISO/IEC 27002:2013 stark abweicht. Anstatt der bekannten thematischen Gruppierung der 114 Maßnahmen in 14 Maßnahmenbereiche, werden die neuen 93 Maßnahmen jetzt jeweils in einen der vier Themenbereiche Organizational controls (37), People controls (8), Physical controls (14) oder Technological controls (34) eingeteilt, je nachdem, welches Thema die jeweilige Maßnahme maßgeblich bestimmt. Weiterhin werden die Ziele der Maßnahmen explizit definiert und zusätzliche Attribute aufgeführt, die weitergehende Informationen geben, bspw. zur Wirkungsweise der Maßnahme. Attribute stellen hierbei auch eine alternative Sortiermöglichkeit der Maßnahmen dar und sollen für mehr Flexibilität – und Interoperabilität zu anderen Standards sorgen. Die folgenden Attribute sind im neuen Standard enthalten:
Control type | Wirkungsweise der Maßnahme
[#Preventive, #Detective, #Corrective] |
Information security property | Auswirkung auf Sicherheitsziele
[#Confidentiality, #Integrity, #Availability] |
Cybersecurity concepts | Einordnung in Cybersecurity Frameworks
[#Identify, #Protect, #Detect, #Respond, #Recover] |
Operational capabilities | Operative Fähigkeiten
[#Application security, #Asset management, #Continuity, #Data protection, #Governance, #Human resource security, #Identity and access management, #Information security event management, #Legal and compliance, #Physical security, #Secure configuration, #Security assurance, #Supplier relationships security, #System and network security, #Threat and vulnerability management] |
Security Domains | NIS Sicherheitsdomänen (ENISA)
[#Governance_and_Ecosystem, #Protection, #Defence, #Resilience] |
Inhaltlich wurde an den Maßnahmen ebenfalls viel gearbeitet: wie bereits erwähnt, gibt es nur noch 93 Maßnahmen, verglichen mit den 114 Maßnahmen der alten ISO/IEC 27002:2013. Dabei ist allerdings nur eine einzige Maßnahme wirklich entfallen (11.2.5 Removal of assets), während die anderen Maßnahmen teilweise durch Zusammenlegung gleichartiger Themen inhaltlich neu geschnitten wurden. Neben der inhaltlichen und sprachlichen Überarbeitung der bekannten Maßnahmen, wurden auch die folgenden 11 neuen Maßnahmen aufgenommen, um aktuelle Entwicklungen in der Informationssicherheit zu berücksichtigen:
5.07 Threat intelligence | Organizational Control |
5.23 Information security for use of cloud services | Organizational Control |
5.30 ICT readiness for business continuity | Organizational Control |
7.04 Physical security monitoring | Physical control |
8.09 Configuration management | Technological control |
8.10 Information deletion | Technological control |
8.11 Data masking | Technological control |
8.12 Data leakage prevention | Technological control |
8.16 Monitoring activities | Technological control |
8.22 Web filtering | Technological control |
8.28 Secure coding | Technological control |
Insgesamt macht die Überarbeitung einen aufgeräumten, zielführenden und auch sprachlich guten Eindruck, da die Maßnahmen aktuelle Themen aufgreifen und die Beschreibungen insgesamt deutlich geschärft – und Unklarheiten ausgeräumt wurden. Weiterhin gibt es durch die Attribute Hilfestellungen zu den Maßnahmen und die Flexibilität in der Anwendung – sowie Interoperabilität zu anderen Standards wird erhöht.
Welche Auswirkungen hat die Überarbeitung der ISO/IEC 27002 auf zertifizierte Unternehmen bzw. nachweispflichtige ISMS?
Maßgeblich für die Zertifizierung ist nach wie vor die ISO/IEC 27001:2013 mit den in Annex A zugehörigen Maßnahmen, die auf die aktuelle ISO/IEC 27002:2013 referenzieren. Dies ändert sich mit Veröffentlichung der neuen ISO/IEC 27002:2021 auch nicht. Vielmehr wird mit einer kurzfristigen Anpassung der ISO/IEC 27001 im nächsten Jahr gerechnet, um die Synchronität der Maßnahmen wieder herzustellen. Danach wird es voraussichtlich, wie üblich, eine Übergangsfrist zur verpflichtenden Umsetzung geben.
Allerdings ist es jetzt schon ratsam, sich mit der neuen ISO/IEC 27002:2021 zu beschäftigen. Kapitel 4.1 der ISO 27001 verlangt nämlich genau dieses, die Analyse und Bestimmung der Auswirkungen externer Themen auf das ISMS. In diesem Fall also die Auswirkungen einer aktualisierten ISO 27002. Die Analyse bildet die Grundlage dafür, einen Plan für die Umsetzung der neuen Themen in den Bereichen der Risikoanalyse, ggf. auch Anpassung des Regelwerks und nicht zuletzt der Umsetzung der neuen Themen zu erstellen. Jetzt ist der ideale Zeitpunkt, diese Analyse und Planung durchzuführen, damit in der nächsten Managementbewertung notwendige Freigaben und auch Budgets für die Umsetzung gesichert werden können.
Fazit
Die neue ISO/IEC 27002:2021 wird einen starken Einfluss auf Ihr bestehendes ISMS haben und die Planung der notwendigen Änderungen sollte nicht auf die lange Bank geschoben werden.
Neben der einfachen Anpassung bietet sich Ihnen zudem jetzt die Chance, nicht optimal ausgestaltete Methoden und Verfahren neu zu strukturieren. Da beispielsweise das Risikomanagement auf jeden Fall überarbeitet werden muss, wäre jetzt der ideale Zeitpunkt für den Umstieg auf eine wirksamere Risikomethodik, evtl. sogar in einem ganzheitlichen Ansatz durch Integration weiterer Themen wie Datenschutz (ISO 27701), BCM (ISO 22301) oder auch ICT Continuity Management (ISO 27031). Gleiches gilt auch für das Regelwerk zur Informationssicherheit.
Egal wofür Sie sich entscheiden – wir helfen Ihnen bei der Wahl der für Sie besten Alternative und unterstützen Sie dabei, diese Hürde schnell zu überwinden! Sprechen Sie uns einfach an und wir vereinbaren einen Termin für einen ersten Orientierungsworkshop.