Zum Inhalt springen
Startseite » Blog » Neuerungen in der ISO/IEC 27002:2022

Neuerungen in der ISO/IEC 27002:2022

Im Februar 2022 wurde die neue Version der ISO/IEC 27002 veröffentlicht, nachdem die letzte Version nun seit 2013 gültig war. Dementsprechend gibt es doch ein paar relevante Änderungen, wobei man sagen muss, dass diese nicht so gravierend sind, wie man vermuten konnte.

Um Verwirrung zu vermeiden, nochmals der Hinweis, dass die ISO/IEC 27001 der Hauptstandard ist, gegen den man sich auch zertifizieren lassen kann und die ISO/IEC 27002 die ausführliche Beschreibung der im Anhang A der ISO/IEC 27001 beschriebenen Kontrollen ist. Die ISO/IEC 27001 wird gerade auch überarbeitet und mit einer Veröffentlichung wird gegen Mitte des Jahres 2022 gerechnet.

Was hat sich geändert?

Die Gesamtzahl der Kontrollen wurde von 114 auf 93 reduziert, wobei die Kontrollen in 4 neue Kategorien einsortiert wurden. Die Kategorien sind nun

  • Organisatorische Kontrollen (organizational controls)
  • Personen (people controls)
  • Technik (technological controls)
  • Physische Kontrolle (physical controls)

Insgesamt wurden 57 Kontrollen in 24 Kontrollen zusammengelegt, 23 Kontrollen umbenannt, 1 Kontrolle aufgeteilt und 11 neue Kontrollen eingeführt.

Als neue Kontrollen wurden die Themen

  • 5.7 Threat Intelligence, also das Sammeln und Auswerten von Informationen zu Informationssicherheitsbedrohungen
  • 5.23 Information security for use of cloud services: sprich Cloud Sicherheit und die Prozesse für die Beschaffung, Nutzung, Wartung und Beendigung von Cloud-Diensten
  • 5.30 ICT readiness for business continuity (IT Readiness für BCM)
  • 7.4 Physical security monitoring: Kontinuierliches Monitoring physischer Sicherheit des Geländes
  • 8.9 Confiugration Managemen (Konfigurations Management)
  • 8.10 Information deletion (Löschen von Informationen)
  • 8.11 Data masking (Maskieren von Daten)
  • 8.12 Data leakage prevention (Schutz vor Datenabfluss)
  • 8.16 Monitoring activities (Monitoring von Netzwerken, Systemen und Anwendungen)
  • 8.23 Web Filtering
  • 8.28 Secure Coding (Sicheres Programmieren)

Die Kontrolle Technical Compliance Review wurde aufgeteilt in 5.36 – Compliance mit Richtlinien, Regeln und Standards für Informationssicherheit und 8.8 Management von technischen Schwachstellen

Was ich hilfreich finde, dass nun jede Kontrolle entsprechende Zusatzinformationen erhalten hat, wie

  • Kontrollart
  • Schutzziele
  • Referenz zu Bereich in Cybersecurity Framework (ISO/IEC TS 27110)
  • Relevante Operative Fähigkeit
  • In welche Sicherheitsdomäne gehört die Kontrolle:

Sobald nun die ISO/IEC 27001 final veröffentlicht ist, beginnt eine 2 jährige Übergangszeit, in der man dann die Änderungen umsetzen kann. Sofern ihr keine Dringlichkeit für den Erhalt eines ISO/IEC 27001 Zertifikats habt, dann empfehlen wir auf die finale Version der ISO/IEC 27001 zu warten.

Gerne unterstützen wir euch bei dem Aufbau eines sinnvollen und angemessenem Informationssicherheits-Managementsystem.

Schlagwörter: