ISO 27002
Die ISO 27002 ist die international anerkannte Norm für Informationssicherheit. Die neue Ausgabe der ISO/IEC 27002:2022 enthält aktualisierte Sicherheitsmaßnahmen und -verfahren, die den aktuellen Bedrohungen und Herausforderungen der digitalen Welt entsprechen.
Wie Sie ihr Unternehmen vor Bedrohungen schützen
Die Norm bietet einen praxisorientierten Ansatz zum Aufbau eines wirksamen Informationssicherheitsmanagementsystems (ISMS) und ist damit eine wichtige Ressource für Unternehmen aller Größen und Branchen. Die Norm basiert auf dem “Code of Practice for Information Security Management” des British Standards Institute (BSI) und dem “Information Security Management System Standard” der International Organization for Standardization (ISO).
Die Umsetzung der ISO 27002 erfordert jedoch mehr als nur das Lesen der Norm und das Einhalten einiger grundlegender Regeln. Vielmehr muss das Unternehmen ein Sicherheitsmanagement-System (SMS) implementieren, dass alle Aspekte der Informationssicherheit abdeckt. Zu den wichtigsten Elementen eines SMS gehören eine Risikoanalyse, Sicherheitsrichtlinien, Verfahren und Kontrollen sowie Überwachungs- und Testverfahren.
Die Risikoanalyse ist die Grundlage für alle weiteren Aktivitäten im Rahmen der ISO 27002. Sie sollte regelmäßig durchgeführt werden, um sicherzustellen, dass das SMS den aktuellen Bedrohungen entspricht. Auf Basis der Risikoanalyse werden Sicherheitsrichtlinien entwickelt, die detailliert beschreiben, welche Maßnahmen zum Schutz von Daten und Systemen ergriffen werden sollten. Diese Richtlinien müssen von allen Mitarbeitern eingehalten werden.
Erreichen und Aufrechterhalten von Compliance
Verfahren und Kontrollen sind technische oder organisatorische Maßnahmen, die zum Schutz von Daten und Systemen ergriffen werden. Sie können beispielsweise die Verschlüsselung von Daten, den Einsatz von Firewalls oder die regelmäßige Überprüfung von Zugriffsberechtigungen umfassen. Überwachungs- und Testverfahren sollten regelmäßig durchgeführt werden, um sicherzustellen, dass alle Komponenten des SMS funktionieren und keine Schwachstellen vorhanden sind.
Die Einhaltung der ISO 27002 ist somit ein komplexes Unterfangen, das ein hohes Maß an Engagement und Aufwand erfordert. Organisationen sollten sich jedoch bewusst sein, dass es sich hierbei um eine Investition in die Zukunftsfähigkeit des Unternehmens handelt, die langfristig betrachtet sehr lohnend sein kann.
Die wesentlichen Änderungen der ISO 27002:2022
Abgesehen von der Änderung des Titels (früher: „Information technology – Security techniques – Code of practice for Information security controls“) wurde die Struktur der Controls geändert, indem den Controls unter anderem Attribute zugeordnet wurden. Weiterhin wurden einige Controls zusammengelegt, die Controls-Beschreibungen aktualisiert und manche Controls gelöscht. Die genannten Änderungen werden in die ISO 27001-Aktualisierung aufgenommen und für künftige Zertifizierungen nach ISO 27001 verbindlich sein. Die Änderungen beziehen sich dabei ausschließlich auf Anhang A der Norm.
Insgesamt wurde die Anzahl der Kontrollen von 114 auf 93 reduziert. Grund dafür sind technologische Fortschritte sowie ein besseres Verständnis für die Durchführung von Sicherheitsmaßnahmen. So umfasst die neue ISO 27002:2022 insgesamt 93 Controls, die in vier Abschnitten untergliedert sind:
- Organizational controls (37)
- People controls (8)
- Physical controls (14)
- Technological controls (34)
Bis auf die geänderte Kontrollnummer sind 35 Kontrollen unverändert geblieben. Zudem wurden elf neue Kontrollen hinzugefügt und 23 Kontrollen zum besseren Verständnis umbenannt.
Der Anwendungsbereich der ISO/IEC 27007:2022 umfasst nun folgende elf neue Kontrollen:
- Threat intelligence
- Information security for the use of cloud services
- ICT readiness for business continuity
- Physical security monitoring
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Monitoring activities
- Web filtering
- Secure coding
Übergang von ISO 27001
Zwar erhöht sich durch die zusätzlichen elf Maßnahmen der Umsetzungsaufwand eines Unternehmens, dennoch sind die neuen Punkte wichtig. Besonders beachtenswert ist, dass in der neuen Norm im Gegensatz zu der 2013er-Version auch die Cloud-Nutzung berücksichtigt wurde. Während das Thema Cloud-Nutzung vor zehn Jahren noch nebensächlich war, ist die Cloud heutzutage für die meisten Unternehmen unverzichtbarer Bestandteil des Geschäftsalltags.
Die Zusammenfassung der Controls hat jedoch den Nachteil, dass es für die Unternehmen schwieriger wird, Maßnahmen als unzutreffend auszuklammern, wenn sie nicht auf das Tätigkeitsfeld des Unternehmens passen.
Unternehmen, deren Informationssicherheit-Managementsysteme bereits nach ISO 27001 implementiert sind, haben vorerst nichts zu befürchten, denn unabhängig von den Änderungen, die durch die ISO 27002 bedingt sind, gilt für zertifizierte Unternehmen eine Übergangsfrist von zwei Jahren, beginnend mit der offiziellen Aktualisierung der ISO 27001, um die Übereinstimmung mit den neuen Kontrollen zu gewährleisten.
Konkreter Handlungsbedarf
Das Warten auf die neue Norm hat sich gelohnt. Abgesehen davon, dass Informationssicherheit nun im globalen Kontext gesehen wird, ist man bestrebt, neue und vor allem der heutigen Zeit angemessene Szenarien und Risiken im Hinblick auf die Cybersecurity zu berücksichtigen. Zudem kommt dem Datenschutz ein größerer Stellenwert zu. Auch wenn Unternehmen, die bereits ein Informationssicherheit-Managementsystem nach ISO 27001 implementiert haben, vorerst nichts weiter arrangieren müssen, ist es ratsam, sich baldmöglichst mit den neuen und zum Teil auch erweiterten Anforderungen der ISO/IEC 27002 vertraut zu machen, sowie entsprechende Prozesse und Systeme gebührend anzupassen.
Sie haben Fragen zur ISO 27002?
Unser Angebot an Audit- und Schulungsdienstleistungen in Bezug auf die ISO 27002:2022 eignet sich für Unternehmen und Organisation jeder Größenordnung. Sie haben Fragen zur ISO 27002?
