„Wir stellen unsere Risikoanalyse mal eben auf die neuen Controls der ISO/IEC 27002:2022 um“​ – ein Erfahrungsbericht (Teil 1)

Um es gleich vorwegzunehmen, „einfach mal eben“ ist ein Umstieg auf die neue ISO/IEC 27002 leider nicht möglich, wie wir rausfinden mussten. Und das, obwohl es ein Mapping gibt, häufig auch mit 1-zu-1 Beziehungen zwischen den alten und neuen Controls. Insbesondere hier lag die Vermutung nahe, anstatt der alten Control-Nummern einfach die Neuen zuzuordnen und man ist fertig. Leider Pustekuchen, so einfach ist es nicht. Aber der Reihe nach..