17. Feb 2022

Startschuss für die neue Norm

ISO 27002:2022 – was Sie jetzt wissen müssen!

Die ISO 27002:2022 wurde revidiert und mit Mitte Februar veröffentlicht. Wir haben die wesentlichen Änderungen und Neuerungen kompakt für Sie zusammengefasst.

Wofür steht die ISO 27002?

Die internationale Norm ISO/IEC 27002 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“ definiert allgemeine Sicherheitsmaßnahmen und unterstützt bei der Erfüllung der Anforderungen aus dem Annex A der ISO/IEC 27001. Die ISO 27002 ist dabei der detaillierte und präzise Zusatz, kann jedoch nicht zertifiziert werden, da es sich um keine Managementnorm handelt. Der Leitfaden wird somit bei der Implementierung von Informationssicherheitsmanagementsystemen (ISMS) zu Rate gezogen.

Die Vorgängerversion ISO 27002:2013 wurde vor mehr als neun Jahren publiziert, Ende 2021 erschien nach vorhergehenden Abstimmungen innerhalb der ISO-Normungsgremien sowie zahlreichen Überarbeitungen der Final Draft International Standard (DFIS) der ISO 27002.

Welche Änderungen treten nun ein?

Die ISO 27002:2022 soll künftig über 93 Sicherheitsmaßnahmen (sog. „Controls“) verfügen – unterteilt in vier Kategorien:

  • organisatorische (37),
  • personelle (8),
  • physische (14) und
  • technologische Kontrollen (34).

Jede Steuerungsmaßahme wird wiederum mit Attributen verknüpft. Somit wird eine standardisierte Möglichkeit geboten, die Sicherheitsmaßnahmen zu sortieren bzw. filtern. Diese Attribute sind:

  • Control types: Die „Kontrolltypen“ sind ein Attribut, mit dem Steuerungsmaßnahmen unter dem Punkt betrachtet werden können, wann und wie die Kontrolle das Risiko im Hinblick auf das Auftreten eines Informationssicherheitsvorfalls verändert. Die Attributwerte können präventiv, reaktiv oder korrektiv
  • Information security properties: Die „Merkmale der Informationssicherheit“ sind ein Attribut, mit dem Maßnahmen nach den Gesichtspunkten Vertraulichkeit, Integrität oder Verfügbarkeit betrachtet werden können.
  • Cybersecurity concepts: Die Attribute der „Cybersicherheitskonzepte“ werden klassifiziert in Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen. Die Attribute sollen somit in dem in ISO/IEC TS 27100 beschriebenen Rahmenwerk definiert werden.
  • Operational capabilities
  • Security domains

In der Vorgängerversion, der ISO 27002:2013, waren dies noch 114 Maßnahmen, kategorisiert in 11 Bereiche. Von diesen ist eine einzige Maßnahme weggefallen (Removal of assets), andere Maßnahmen wurden – u. a. zum Zweck der besseren Übersichtlichkeit – hingegen zu inhaltlich ähnlichen Themen zusammengefasst.

Neben der strukturellen Überarbeitung, wurden inhaltlich mehrere Kontrollziele ergänzt, darunter Bereiche wie

  • Threat intelligence,
  • Information security for use of cloud services,
  • ICT Readiness for Business Continuity,
  • Physical security monitoring,
  • Configuration management, um nur einige zu nennen.

Gleichzeitig erfordert die grundlegende, strukturelle Änderung der ISO 27002 umgekehrt auch eine Überarbeitung der ISO 27001 – im Speziellen des Anhang A – um beide Standards in Einklang zu halten. Somit ist in Kürze, mittels beschleunigtem Verfahren, auch eine neue Version der ISO 27001 zu erwarten, um die Zeit der Abweichungen beider Normen möglichst kurz zu halten.

Unternehmen, die bereits ein ISMS nach ISO 27001 implementiert haben, sollten sich somit mit den neuen Kontrollzielen vertraut machen und diese nach einer Übergangsfrist von bis zu zwei Jahren (ab dem Monat der tatsächlichen Veröffentlichung) umsetzen, wie in einem entsprechenden Entwurf des entsprechenden Mandatory Document des International Accreditation Forum (IAF) zu lesen ist. Organisationen, die mit dem Gedanken einer Zertifizierung nach ISO 27001 spielen, empfehlen wir, dieses ISMS bereits nach der neuen Struktur der ISO 27002:2022 zu erarbeiten.

Wie wir Sie beim Umstieg auf ISO 27002:2022 unterstützen!

Als akkreditierte Zertifizierungsorganisation im Bereich Informationssicherheit ist CIS bereits seit Beginn an aktiv in Arbeitsgruppen und somit an der Revision der Norm beteiligt. Wir arbeiten darüber hinaus zurzeit intensiv an der Umsetzung sowie Implementierung der neuen Version in sämtliche Services (Zertifizierung, Audits und Trainings).

In den kommenden Monaten planen wir ein eintägiges Update-Seminar, in welchem die Neuerungen und Änderungen kompakt für alle interessierten Personen und Unternehmen dargelegt werden. Wir halten Sie selbstverständlich mittels Website und Newsletter über kommende Termine am Laufenden!

Sie haben Fragen?

Kontaktieren Sie uns hier, wir freuen uns von Ihnen hören zu dürfen!

Update-Training ISO 27002:2022

Diese eintägige Ausbildung gibt Ihnen einen Überblick über die Änderungen in der ISO/IEC 27002 und den sich daraus ergebenden Auswirkungen.
Mehr erfahren:

Mehr erfahren

Ihre Ansprechpartner

Team

Herr Klaus Veselko

CIS Geschäftsführer, Lead Auditor für ISO 27001

Team

Portraitfoto Robert Jamnik

Herr Robert Jamnik

Intern & Service Lead | Head of Audit Services, Lead Auditor ISO 20000, ISO 27001 und NISV-Überprüfungen

Weitere News & Events

Immer topaktuell informiert

23. Mai 2022

ISO 27701: Frequently asked questions

Ihre Fragen – unsere Antworten rund um Datenschutz & Informationssicherheit

Mehr erfahren
02. Mai 2022

Vermehrte Ransomware-Attacken in der Automotive-Branche

CIS bietet TISAX-Level-2-Assessments an

Mehr erfahren
08. Mrz 2022

Risiko-Minimierung für Cloud Services

ISO 27017 minimiert Risiken für Cloud Services

Mehr erfahren
07. Mrz 2022

Der Mehrwert eines Datenschutz­managementsystems

Gastkommentar von Bernhard Bachofner, Chief Technology Officer (CTO) der Fiegl & Spielberger Gruppe zur DSGVO, Datenschutz und dem Nutzen von Zertifizierungen

Mehr erfahren
08. Feb 2022

Ausblick und Status Quo in puncto „Safer Internet“

Roundtable anlässlich des Safer Internet Day

Mehr erfahren
01. Feb 2022

Österreichs beste Chief Information Security Officer gesucht

„CISO of the Year“: Bewerbungen bis 18. März 2022 möglich

Mehr erfahren
27. Jan 2022

Österreichische Datenschutzbehörde bestätigt Schrems II – Nutzung von Google Analytics illegal?

Europäischer Datenschutztag

Mehr erfahren
11. Jan 2022

NIS-Gesetz: Systemrelevanten Unternehmen drohen Strafen bei nicht zeitgerechter Umsetzung

Experte Klaus Veselko warnt

Mehr erfahren
20. Sep 2022

Event: CIS Compliance Summit 2022

Security | Privacy | Continuity

Mehr erfahren
30. Nov 2021

Wir machen Sie fit für die Zukunft der Digitalisierung!

Warum wir gerade jetzt Information Security Manager benötigen

Mehr erfahren
25. Nov 2021

Mit einer ISO 27001-Zertifizierung den nächsten Gipfel stürmen

Nutzen Sie Managementsysteme für Ihre Ziele!

Mehr erfahren
25. Nov 2021

Cyberkriminalität im Gesundheitswesen kann jeden treffen!

Medizinische Einrichtungen geraten immer stärker in den Fokus

Mehr erfahren
+43 732 34 23 22