.st0{fill:#FFFFFF;}

Auswirkungen der neuen ISO/IEC 27002:2022

Wichtige Datenschutz-Themen von Profis aufbereitet

Auswirkungen der neuen ISO/IEC 27002:2022

Im vergangenen Februar wurde die ISO 27002:2022 („Information security, cybersecurity and privacy protection – Information security controls“) aktualisiert. Mit der neuen Version wurde die Vorgängerversion aus dem Jahr 2013 ersetzt. Während die Anforderungen an das Informationssicherheit-Managementsystem (ISO 27001) dieselben sind, hat sich bei den Controls einiges getan.

Das Wichtigste in Kürze

  • Neben der Änderung des Titels wurde die Struktur der Controls geändert.
  • Unternehmen, die bereits ein nach ISO 27001 implementiertes Informationssicherheit-Managementsystem haben, müssen vorerst nichts weiter arrangieren.
  • Um die Übereinstimmung mit den neuen Controls zu gewährleisten, gilt für zertifizierte Unternehmen eine Übergangsfrist von zwei Jahren, beginnend mit der offiziellen Aktualisierung von ISO 27001.

    1. Die neue ISO 27002

    Jedes Unternehmen, das Wert auf Informationssicherheit legt, wird bereits mit der ISO 27001, der internationalen Norm für praxisbewährte Verfahren für ein Informationssicherheit-Managementsystem, vertraut sein. Im Gegensatz zur ISO 27001 ist die ISO 27002 selbst kein Zertifizierungsstandard und soll lediglich der Umsetzung der in Anhang A der ISO 27001 aufgeführten Sicherheitskontrollen dienen. Beide Normen sind daher zusammen zu betrachten.


    2. Die wesentlichen Änderungen der ISO 27002:2022

    Abgesehen von der Änderung des Titels (früher: „Information technology – Security techniques – Code of practice for Information security controls“) wurde die Struktur der Controls geändert, indem den Controls unter anderem Attribute zugeordnet wurden. Weiterhin wurden einige Controls zusammengelegt, die Controls-Beschreibungen aktualisiert und manche Controls gelöscht. Die genannten Änderungen werden in die ISO 27001-Aktualisierung, die noch in diesem Jahr durchgeführt werden soll, aufgenommen und für künftige Zertifizierungen nach ISO 27001 verbindlich sein. Es ist zu erwarten, dass sich die Änderungen voraussichtlich ausschließlich auf Anhang A der Norm beziehen.

    Unternehmen, deren Informationssicherheit-Managementsysteme bereits nach ISO 27001 implementiert sind, haben vorerst nichts zu befürchten, denn unabhängig von den Änderungen, die durch die ISO 27002 bedingt sind, gilt für zertifizierte Unternehmen eine Übergangsfrist von zwei Jahren, beginnend mit der offiziellen Aktualisierung von ISO 27001, um die Übereinstimmung mit den neuen Kontrollen zu gewährleisten.

    3. Neue Struktur

    Insgesamt wurde die Anzahl der Kontrollen von 114 auf 93 reduziert. Grund dafür könnten technologische Fortschritte sowie ein besseres Verständnis für die Durchführung von Sicherheitsmaßnahmen sein. So umfasst die neue ISO 27002 insgesamt 93 Controls, die in vier Abschnitten untergliedert sind:

    • Organizational controls (37)
    • People controls (8)
    • Physical controls (14)
    • Technological controls (34).


    4. Neue Controls

    Bis auf die geänderte Kontrollnummer sind 35 Kontrollen unverändert geblieben. Zudem wurden elf neue Kontrollen hinzugefügt und 23 Kontrollen zum besseren Verständnis umbenannt.

    Der Anwendungsbereich der ISO/IEC 27007:2022 umfasst nun folgende elf neue Kontrollen:

    1. Threat intelligence
    2. Information security for the use of cloud services
    3. ICT readiness for business continuity
    4. Physical security monitoring
    5. Configuration management
    6. Information deletion
    7. Data masking
    8. Data leakage prevention
    9. Monitoring activitvities
    10. Web filtering
    11. Secure coding.

    Zwar erhöht sich durch die zusätzlichen elf Maßnahmen der Umsetzungsaufwand eines Unternehmens, dennoch sind die neuen Punkte wichtig. Besonders beachtenswert ist, dass in der neuen Norm im Gegensatz zu der 2013er-Version auch die Cloud-Nutzung berücksichtigt wurde. Während das Thema Cloud-Nutzung vor zehn Jahren noch nebensächlich war, ist die Cloud heutzutage für die meisten Unternehmen unverzichtbarer Bestandteil des Geschäftsalltags.

    Die Zusammenfassung der Controls hat jedoch den Nachteil, dass es für die Unternehmen schwieriger wird, Maßnahmen als unzutreffend auszuklammern, wenn sie nicht auf das Tätigkeitsfeld des Unternehmens passen.


    5. Fazit

    Das Warten auf die neue Norm hat sich gelohnt. Abgesehen davon, dass Informationssicherheit nun im globalen Kontext gesehen wird, ist man bestrebt, neue und vor allem der heutigen Zeit angemessene Szenarien und Risiken im Hinblick auf die Cybersecurity zu berücksichtigen. Zudem kommt dem Datenschutz ein größerer Stellenwert zu. Auch wenn Unternehmen, die bereits ein Informationssicherheit-Managementsystem nach ISO 27001 implementiert haben, vorerst nichts weiter arrangieren müssen, ist es ratsam, sich baldmöglichst mit den neuen und zum Teil auch erweiterten Anforderungen der ISO/IEC 27002 vertraut zu machen, sowie entsprechende Prozesse und Systeme gebührend anzupassen.

    Datenschutzschulungen für Ihre Mitarbeiter?


    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.