Jemand tippt auf einem Notebook

Neue Version der ISO/IEC 27002

Auswirkungen auf die ISO/IEC 27001 und Ihr ISMS

Gehen Sie mit unseren Fachleuten die Änderungen und neuen Controls an

Im Februar 2022 wurde, nach mehreren Jahren der Überarbeitung, die neue ISO/IEC 27002:2022-02 veröffentlicht. Diese ersetzt die bisher gültige ISO/IEC 27002:2013 und damit auch die deutsche Fassung DIN EN ISO/IEC 27002:2017. Die ISO/IEC 27002 ist die zweitwichtigste Norm nach der ISO/IEC 27001, wenn es darum geht, ein Information Security Management System (ISMS) im Unternehmen einzuführen und Informationssicherheit strukturiert zu betreiben.

Die ISO/IEC 27002 ist zwar nicht normativ, was bedeutet, dass in einem Zertifikatsaudit die ISO/IEC 27002 nicht Bestandteil der Auditierung ist. Dennoch hat sie einen gewichtigen Einfluss, da sie Umsetzungsempfehlungen für die Controls des Annex A der ISO/IEC 27001 bietet. In diesen sogenannten Controls werden technische und organisatorische Massnahmen beschrieben, die bestehenden Bedrohungen und potenziellen Schwachstellen der Informationssicherheit in Unternehmen entgegenwirken.

Die Neufassung der Zertifizierungsnorm ISO/IEC 27001:2013 wird für das vierte Quartal 2022 erwartet, womit dann auch der Startschuss für die Transitionsphase eingeläutet wird. Ab der Veröffentlichung haben Unternehmen 24 Monate Zeit, das Audit erfolgreich nach dem neuen Standard abzuschliessen.

Welche Änderungen sind zu erwarten?

Die Anpassungen, die sich aus der ISO/IEC 27002:2022 ergeben, sind neben strukturellen Anpassungen des Dokumentes deutlich umfangreichere und detailliertere Ausführungen hinsichtlich der Umsetzung der anzuwendenden Controls. Besonders hervorzuheben sind hierbei folgende Themen:

Threat intelligence (5.7)

  • Die Organisation muss sich, bezogen auf die eigene IT-Landschaft, proaktiv darum kümmern, potenzielle Angreiferinnen und Angreifer und deren Methoden zu verstehen.

Information security for use of cloud services (5.23)

  • Die Organisation muss ihre Cloud-Aktivitäten über den gesamten Lebenszyklus (Einführung, Betrieb, Exit-Strategie) betrachten.

ICT readiness for business continuity (5.30)

  • Die Anforderungen der IT-Landschaft an Business Continuity müssen, zum Beispiel im Rahmen einer Business-Impact-Analyse (BIA), betrachtet werden.

Physical security monitoring (7.4)

  • Die Überwachung und Vermeidung unautorisierter, physischer Zutritte durch Alarmierungs- und Überwachungssysteme erhalten einen höheren Stellenwert.

Configuration management (8.9)

  • Härtung und sichere Konfiguration von IT-Systemen rücken in den Fokus.

Information deletion und data masking (8.10 und 8.11)

  • Anforderungen an den Datenschutz wurden präzisiert. Hierzu gehören das sichere Löschen von Daten, die Wahrung externer Anforderungen sowie die Maskierung von Daten durch Techniken der Anonymisierung und Pseudonymisierung.

Data leakage prevention (8.12)

  • Der unautorisierte Abfluss von Daten soll durch Data Leakage Prevention (DLP) vermieden werden.

Monitoring activities (8.16)

  • Die Überwachung von Netzwerken und Anwendungsverhalten soll Anomalien detektieren. Dies zielt insbesondere auf den Einsatz von Intrusion-Detection- und -Prevention-Systemen (IDS, IPS).

Web filtering (8.23)

  • Webfilter-Methoden sollen beim Zugriff auf externe Webseiten den Eintrag von Schadcode verhindern.

Secure coding (8.28)

  • Sicheres Programmieren soll unter anderem durch die Nutzung von Tools, die Überwachung von Bibliotheken und Repositorien und das Vermeiden unsicherer Programmiermethoden gestützt werden.

Insgesamt kann festgestellt werden, dass die Aufwände für Implementierung, Betrieb und Zertifizierung merklich steigen werden.

Diese geänderten Anforderungen bringen auch direkte Auswirkungen auf die geforderten Prozesse gemäss den Kapiteln 4 bis 10 der ISO/IEC 27001 mit sich. Beispiele hierfür sind Fragen nach

  • ausreichender Besetzung von Rollen und Verantwortlichkeiten (5.3)
  • ausreichender Bemessung von Ressourcen (7.1)
  • angemessenen Kompetenzen und erforderlichem Know-how (7.2)
  • ausreichenden Schulungen oder Trainings (7.3)
  • Anpassungen der internen und externen Kommunikationen (7.4)
  • Identifizierung und Bewertung von Risiken (6 und 8)
  • Umstellung des Auditprogramms und der internen Audits (9.2)
  • Anpassung des SoA (Statement of Applicability) an den neuen Annex A (6)

Welche konkreten Änderungen sich aus der Revision der ISO/IEC 27001 ergeben werden, bleibt spannend.

Welche Folgen hat das für ihr Unternehmen?

Um die Zertifizierung nach dem neuen Standard zu erlangen oder eine bestehende Zertifizierung zu verlängern, müssen innerhalb der Transitionsphase die neuen oder geänderten Anforderungen nachweislich erfüllt werden. Hierzu ist es erforderlich, die bestehenden Lücken zu bestimmen, diese zu schliessen und die Wirksamkeit der geänderten technischen und organisatorischen Massnahmen nachzuweisen. Letzteres erfolgt in der Regel durch das interne Audit.

Sind Sie vorbereitet?

Kennen Sie bereits heute die geänderten und neuen Anforderungen und wissen Sie, wie Sie diese künftig angemessen und wirksam erfüllen? Haben Sie einen Projektplan, wie Sie diese Anforderungen bis zum Ende der Übergangsfristen umsetzen, um Ihr Zertifikat aufrechtzuerhalten? Stehen Ihnen die notwendigen fachlichen, personellen und technischen Ressourcen zur Verfügung?

Wie helfen Ihnen die adesso-Fachleute?

Unsere erfahrenen Consultants ermitteln gemeinsam mit Ihnen das bestehende Delta zwischen der aktuellen Umsetzung Ihrer technischen und organisatorischen Massnahmen und den neuen Anforderungen. Hierzu führen wir mit Ihnen eine detaillierte GAP-Analyse durch und erstellen einen aussagekräftigen Bericht mit Umsetzungsempfehlungen zur Erreichung der Normkonformität.

Sprechen Sie mit unseren Expertinnen und Experten.

Mitarbeitende an einer Pinwand

Sie haben Fragen?

Keine Webseite und keine Broschüre kann das persönliche Gespräch über Ihre Ziele und Ihre Themen ersetzen.

Wir freuen uns auf einen Termin bei Ihnen vor Ort. Sprechen Sie uns an!

Kontakt

Diese Seite speichern. Diese Seite entfernen.