Nachfolgenorm der ISO 27002:2013 für 2021 geplant
ISO 27002 ist in Überarbeitung
Die ISO/IEC 27002 „IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management“ ist ein internationaler Standard, der Vorschläge und Best Practices für Sicherheitskontrollen beinhält. Die Norm umfasst 114 Sicherheitsmaßnahmen, sogenannte Controls, welche in der heutigen Version in 11 Kapiteln – sogenannten Überwachungsbereichen – kategorisiert sind.
Als Teil der ISO 27000-Familie ist die ISO 27002 eine Vertiefung des Annex A der ISO 27001. Sie gibt Unternehmen und Organisationen jeglicher Größe und Art eine Implementierungshilfe für Maßnahmen zur Reduktion von Risiken im Rahmen eines Risikomanagements, welches die ISO 27001 im Zuge eines wirksamen ISMS fordert
Alle Normen werden regelmäßig überarbeitet, um die Standards relevant und auf dem neuesten Stand zu halten. Aktuell befindet sich die ISO 27002 in Revision, die 12-wöchige Eingabefrist für Kommentare reicht bis Ende April 2021.
Die CIS ist als akkreditierte Zertifizierungsorganisation im Bereich Informationssicherheit in diversen Arbeitsgruppen vertreten und arbeitet somit aktiv an der Revision mit.
Welche Änderungen uns erwarten
CIS-Geschäftsführer Klaus Veselko über die bevorstehende Revision: „Derzeit liegt uns ein fortgeschrittener Arbeitsentwurf vor, welcher im Umfang gegenüber der Vorgängerversion mit rund 90 Seiten auf nunmehr 157 Seiten angewachsen ist. Nach aktuellem Stand rechnen wir darüber hinaus mit einigen wesentlichen, strukturellen Änderungen.“
Unter anderem sollen die Sicherheitsmaßnahmen reduziert und Redundanzen eliminiert werden. Zukünftig werden die nunmehr 93 Controls in vier Themen (organisatorische, personelle, physische und technologische Controls) kategorisiert und in Kapiteln zusammengefasst werden. „Das soll für mehr Praxisorientierung und Verständlichkeit in der Anwendung sorgen.“ so Veselko weiter.
Darüber hinaus wird jedes einzelne Control mit Attributen versehen. Das soll es für Unternehmen erleichtern, die Controls nach Zweck bzw. Eigenschaften zu gruppieren und unterschiedliche Sichtweisen auf die Sicherheitsmaßnahmen darzustellen. Diese Attribute sind neben den Informationssicherheits-Grundsätzen („Confidentiality“, „Integrity“ und „Availability“) zum Beispiel die Control-Typen („Preventive“, „Detective“ oder „Corrective“) und auch die Cybersecurity-Konzepte („Identify“, „Protect“, Detect“, „Respond“ und „Recover“).
Nach einer internationalen Abstimmung innerhalb der ISO-Normungsgremien können weitere Überarbeitungen vorgenommen werden. Das endgültige Dokument soll noch im Laufe des Jahres veröffentlicht werden.
Selbstverständlich informieren wir Sie erneut, sobald es konkrete Informationen gibt und die ISO 27002:2021 veröffentlicht wurde. Bei Rückfragen stehen wir Ihnen hier jederzeit gerne zur Verfügung.