ISO/IEC DIS 27002:2021: Entwurf des neuen Standards veröffentlicht

Nachdem sich die ISO/IEC 27002:2013 bereits seit 2018 in der Überarbeitung befindet, liegt nun seit Ende Januar der Entwurf der neuen ISO/IEC 27002:2021 vor. Sofern der Projektplan der Überarbeitung eingehalten wird, ist mit einer Veröffentlichung der neuen ISO/IEC 27002 im November 2021 zu rechnen.

 

Was ändert sich in Zukunft, wie wirken sich die Änderungen auf Ihr zertifiziertes ISMS aus und warum sollten Sie heute schon darauf reagieren?

Die ISO/IEC 27002 ist der internationale Standard, wenn es um allgemeine Sicherheitsmaßnahmen nach Stand der Technik geht. Aus diesem Grund wird von etlichen Gesetzen und regulatorischen Vorgaben auch die Umsetzung der ISO/IEC 27002 gefordert, wenn es um die Etablierung von Sicherheit nach Stand der Technik geht. Darüber hinaus stellt der Standard einen Leitfaden zur Umsetzung der Anforderungen aus dem Annex A der ISO/IEC 27001 dar und wird somit bei nahezu jeder entsprechenden Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) zu Rate gezogen.

Im Januar wurde, nach dreijähriger Überarbeitung, der Entwurf ISO/IEC DIS 27002:2021 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“ (DIS steht für Draft International Standard) veröffentlicht, der sowohl strukturell wie auch inhaltlich deutlich modernisiert und aktualisiert wurde.

Strukturelle und inhaltliche Überarbeitung

In der überarbeiteten Version sind die Maßnahmen (Controls) in einer grundlegend neuen Struktur angeordnet, die von der aktuellen ISO/IEC 27002:2013 stark abweicht. Anstatt der bekannten thematischen Gruppierung der 114 Maßnahmen in 14 Maßnahmenbereiche, werden die neuen 93 Maßnahmen jetzt jeweils in einen der vier Themenbereiche Organizational controls (37), People controls (8), Physical controls (14) oder Technological controls (34) eingeteilt, je nachdem, welches Thema die jeweilige Maßnahme maßgeblich bestimmt. Weiterhin werden die Ziele der Maßnahmen explizit definiert und zusätzliche Attribute aufgeführt, die weitergehende Informationen geben, bspw. zur Wirkungsweise der Maßnahme. Attribute stellen hierbei auch eine alternative Sortiermöglichkeit der Maßnahmen dar und sollen für mehr Flexibilität - und Interoperabilität zu anderen Standards sorgen. Die folgenden Attribute sind im neuen Standard enthalten:

Control type

Wirkungsweise der Maßnahme

[#Preventive, #Detective, #Corrective]

Information security property 

Auswirkung auf Sicherheitsziele

[#Confidentiality, #Integrity, #Availability]

Cybersecurity concepts

Einordnung in Cybersecurity Frameworks

[#Identify, #Protect, #Detect, #Respond, #Recover]

Operational capabilities 

Operative Fähigkeiten

[#Application security, #Asset management, #Continuity, #Data protection, #Governance, #Human resource security, #Identity and access management, #Information security event management, #Legal and compliance, #Physical security, #Secure configuration, #Security assurance, #Supplier relationships security, #System and network security, #Threat and vulnerability management]

Security Domains 

NIS Sicherheitsdomänen (ENISA)

[#Governance_and_Ecosystem, #Protection, #Defence, #Resilience]

Inhaltlich wurde an den Maßnahmen ebenfalls viel gearbeitet: wie bereits erwähnt, gibt es nur noch 93 Maßnahmen, verglichen mit den 114 Maßnahmen der alten ISO/IEC 27002:2013. Dabei ist allerdings nur eine einzige Maßnahme wirklich entfallen (11.2.5 Removal of assets), während die anderen Maßnahmen teilweise durch Zusammenlegung gleichartiger Themen inhaltlich neu geschnitten wurden. Neben der inhaltlichen und sprachlichen Überarbeitung der bekannten Maßnahmen, wurden auch die folgenden 11 neuen Maßnahmen aufgenommen, um aktuelle Entwicklungen in der Informationssicherheit zu berücksichtigen:

5.07  Threat intelligence

Organizational Control

5.23  Information security for use of cloud services

Organizational Control

5.30  ICT readiness for business continuity

Organizational Control

7.04  Physical security monitoring

Physical control

8.09  Configuration management

Technological control

8.10  Information deletion

Technological control

8.11  Data masking

Technological control

8.12  Data leakage prevention

Technological control

8.16  Monitoring activities

Technological control

8.22  Web filtering

Technological control

8.28  Secure coding

Technological control

Insgesamt macht die Überarbeitung einen aufgeräumten, zielführenden und auch sprachlich guten Eindruck, da die Maßnahmen aktuelle Themen aufgreifen und die Beschreibungen insgesamt deutlich geschärft - und Unklarheiten ausgeräumt wurden. Weiterhin gibt es durch die Attribute Hilfestellungen zu den Maßnahmen und die Flexibilität in der Anwendung - sowie Interoperabilität zu anderen Standards wird erhöht.

Welche Auswirkungen hat die Überarbeitung der ISO/IEC 27002 auf zertifizierte Unternehmen bzw. nachweispflichtige ISMS?

Maßgeblich für die Zertifizierung ist nach wie vor die ISO/IEC 27001:2013 mit den in Annex A zugehörigen Maßnahmen, die auf die aktuelle ISO/IEC 27002:2013 referenzieren. Dies ändert sich mit Veröffentlichung der neuen ISO/IEC 27002:2021 auch nicht. Vielmehr wird mit einer kurzfristigen Anpassung der ISO/IEC 27001 im nächsten Jahr gerechnet, um die Synchronität der Maßnahmen wieder herzustellen. Danach wird es voraussichtlich, wie üblich, eine Übergangsfrist zur verpflichtenden Umsetzung geben.

Allerdings ist es jetzt schon ratsam, sich mit der neuen ISO/IEC 27002:2021 zu beschäftigen. Kapitel 4.1 der ISO 27001 verlangt nämlich genau dieses, die Analyse und Bestimmung der Auswirkungen externer Themen auf das ISMS. In diesem Fall also die Auswirkungen einer aktualisierten ISO 27002. Die Analyse bildet die Grundlage dafür, einen Plan für die Umsetzung der neuen Themen in den Bereichen der Risikoanalyse, ggf. auch Anpassung des Regelwerks und nicht zuletzt der Umsetzung der neuen Themen zu erstellen. Jetzt ist der ideale Zeitpunkt, diese Analyse und Planung durchzuführen, damit in der nächsten Managementbewertung notwendige Freigaben und auch Budgets für die Umsetzung gesichert werden können.

Fazit

Die neue ISO/IEC 27002:2021 wird einen starken Einfluss auf Ihr bestehendes ISMS haben und die Planung der notwendigen Änderungen sollte nicht auf die lange Bank geschoben werden.

Neben der einfachen Anpassung bietet sich Ihnen zudem jetzt die Chance, nicht optimal ausgestaltete Methoden und Verfahren neu zu strukturieren. Da beispielsweise das Risikomanagement auf jeden Fall überarbeitet werden muss, wäre jetzt der ideale Zeitpunkt für den Umstieg auf eine wirksamere Risikomethodik, evtl. sogar in einem ganzheitlichen Ansatz durch Integration weiterer Themen wie Datenschutz (ISO 27701), BCM (ISO 22301) oder auch ICT Continuity Management (ISO 27031). Gleiches gilt auch für das Regelwerk zur Informationssicherheit.

Egal wofür Sie sich entscheiden – wir helfen Ihnen bei der Wahl der für Sie besten Alternative und unterstützen Sie dabei, diese Hürde schnell zu überwinden! Sprechen Sie uns einfach an und wir vereinbaren einen Termin für einen ersten Orientierungsworkshop.

info@tts-security.com