10. Feb 2021

Nachfolgenorm der ISO 27002:2013 für 2021 geplant

ISO 27002 ist in Überarbeitung

Die ISO/IEC 27002 „IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management“ ist ein internationaler Standard, der Vorschläge und Best Practices für Sicherheitskontrollen beinhält. Die Norm umfasst 114 Sicherheitsmaßnahmen, sogenannte Controls, welche in der heutigen Version in 11 Kapiteln – sogenannten Überwachungsbereichen – kategorisiert sind.

Als Teil der ISO 27000-Familie ist die ISO 27002 eine Vertiefung des Annex A der ISO 27001. Sie gibt Unternehmen und Organisationen jeglicher Größe und Art eine Implementierungshilfe für Maßnahmen zur Reduktion von Risiken im Rahmen eines Risikomanagements, welches die ISO 27001 im Zuge eines wirksamen ISMS fordert

Alle Normen werden regelmäßig überarbeitet, um die Standards relevant und auf dem neuesten Stand zu halten. Aktuell befindet sich die ISO 27002 in Revision, die 12-wöchige Eingabefrist für Kommentare reicht bis Ende April 2021.

Die CIS ist als akkreditierte Zertifizierungsorganisation im Bereich Informationssicherheit in diversen Arbeitsgruppen vertreten und arbeitet somit aktiv an der Revision mit.

Welche Änderungen uns erwarten

CIS-Geschäftsführer Klaus Veselko über die bevorstehende Revision: „Derzeit liegt uns ein fortgeschrittener Arbeitsentwurf vor, welcher im Umfang gegenüber der Vorgängerversion mit rund 90 Seiten auf nunmehr 157 Seiten angewachsen ist. Nach aktuellem Stand rechnen wir darüber hinaus mit einigen wesentlichen, strukturellen Änderungen.“

Unter anderem sollen die Sicherheitsmaßnahmen reduziert und Redundanzen eliminiert werden. Zukünftig werden die nunmehr 93 Controls in vier Themen (organisatorische, personelle, physische und technologische Controls) kategorisiert und in Kapiteln zusammengefasst werden. „Das soll für mehr Praxisorientierung und Verständlichkeit in der Anwendung sorgen.“ so Veselko weiter.

Darüber hinaus wird jedes einzelne Control mit Attributen versehen. Das soll es für Unternehmen erleichtern, die Controls nach Zweck bzw. Eigenschaften zu gruppieren und unterschiedliche Sichtweisen auf die Sicherheitsmaßnahmen darzustellen. Diese Attribute sind neben den Informationssicherheits-Grundsätzen („Confidentiality“, „Integrity“ und „Availability“) zum Beispiel die Control-Typen („Preventive“, „Detective“ oder „Corrective“) und auch die Cybersecurity-Konzepte („Identify“, „Protect“, Detect“, „Respond“ und „Recover“).

Nach einer internationalen Abstimmung innerhalb der ISO-Normungsgremien können weitere Überarbeitungen vorgenommen werden. Das endgültige Dokument soll noch im Laufe des Jahres veröffentlicht werden.

Selbstverständlich informieren wir Sie erneut, sobald es konkrete Informationen gibt und die ISO 27002:2021 veröffentlicht wurde. Bei Rückfragen stehen wir Ihnen hier jederzeit gerne zur Verfügung.

Weitere News & Events

Immer topaktuell informiert

08. Jun 2022

Was Sie beim CIS Compliance Summit 2022 erwartet!

Unsere Speaker – auch heuer wieder geballtes Know-how!

Mehr erfahren
07. Jun 2022

Cyber Defense: entscheidender Erfolgsfaktor (?)

Nur 20 Prozent der österreichischen Groß- und Mittelbetriebe geben an, dass sie über einen Krisenplan für Cyber-Angriffe verfügen.

Mehr erfahren
24. Mai 2022

Laufende Digitalisierung in der Industrie als Treiber

Shooting Star: OT-Security

Mehr erfahren
18. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
02. Mai 2022

Vermehrte Ransomware-Attacken in der Automotive-Branche

CIS bietet TISAX-Level-2-Assessments an

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
17. Feb 2022

ISO 27002:2022 – was Sie jetzt wissen müssen!

Startschuss für die neue Norm

Mehr erfahren
08. Feb 2022

Ausblick und Status Quo in puncto „Safer Internet“

Roundtable anlässlich des Safer Internet Day

Mehr erfahren
01. Feb 2022

Österreichs beste Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 18. März 2022 möglich

Mehr erfahren
27. Jan 2022

Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?

Europäischer Datenschutztag

Mehr erfahren
11. Jan 2022

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Experte Klaus Veselko warnt

Mehr erfahren
+43 732 34 23 22