ISO 27002:2022 – Ein Update für die Informationssicherheit

Nun ist sie im Gespräch – Die neueste Revision der DIN ISO 27000 Reihe. Und sie sieht anders aus. Doch kommt einem der neue Aufbau doch wieder bekannt vor, oder? Erfahren Sie im Verlauf kompakt, welche Neuerungen die vor-veröffentlichte ISO 27002:2022 aus rein operativer Sicht mit sich bringt.

Blickt man zurück, so ergibt sich das Bild, dass ISO-Normen im Normalfall alle fünf bis sieben Jahre einen neuen Anstrich erhalten. So gilt derzeit im Bereich der Informationssicherheit die DIN EN ISO/IEC 27001:2013 als referenzierter Zertifizierungsstandard. Mit Blick nach vorn sollten Organisationen, ab der offiziellen Bekanntmachungen durch das Internationale Organisation für Normung (ISO), dementsprechend eine zweijährige Übergangsfristen erhalten, bis die Zertifizierungsgrundalge angeglichen wird.

Lesen Sie weiter, um zu erfahren, welche Änderungen die neue Revision, der Begleitstandard ISO 27002 mit sich bringt und welchen Einfluss diese auf die Anforderungen des Anhang A der ISO 27001 haben wird.

Was ist die ISO 27002 in der Welt unendlicher ISO Normen?

Ein Leitfaden. Genau das ist die ISO 27002. Im Konstrukt der ISO Normen sprechen wir von zertifizierungsfähigen Normen, deren Anhängen sowie von begleitenden Normen, die die Umsetzung von geforderten Maßnahmen vertiefen und Best Practice Ansätze und Mindestkriterien festlegen. Geht man nach diesen vor und hält man sich strikt an die Vorgaben der ISO 27002, so ist eine Compliance zum Anhang A der ISO 27001 sichergestellt. Es ist anzunehmen, dass dieser kongruent zur hiesigen Revision ebenso zeitnah überarbeitet wird.

Allgemein zählen zu den bekanntesten ISO Normen indes die ISO 9001 für Qualitätsmanagement, ISO 14001 für Energiemanagement als auch ohne Zweifel die ISO 27000 Normen-Reihe für Informationssicherheitsmanagement.

Was hat sich geändert in der neuen 2022 Version der ISO 27002?

Als erstes springt dem Leser ins Auge, dass die neue Version des Standards sehr wohl länger ist als sein Vorgänger, ebenso hat sich die Reihenfolge der Kontrollen geändert – Es wurden Kontrollen zusammengelegt, geupdatet und neu geschaffen. Gelöscht hingegen wurden keine Kontrollen.

  • Alle Kontrollen sind nun vier verschiedenen Gruppen zugeordnet, statt der vormals 14:
  1. People (8 Kontrollen)
  2. Organisational (37 Kontrollen)
  3. Technological (34 Kontrollen)
  4. Physical (14 Kontrollen)
  • Die ISO 27002:2022 enthält nun 93 statt 112 Kontrollen in der Version 2013.
  • Das Rahmenwerk wurde thematisch sinnvoll um folgende 11 Kontrollen ergänzt: 
  1. Threat intelligence
  2. Information security for use of cloud services
  3. ICT readiness for business continuity
  4. Physical security monitoring
  5. Configuration management
  6. Information deletion
  7. Data masking
  8. Data leakage prevention
  9. Monitoring activities
  10. Web filtering
  11. Secure coding 

Mögliche Anpassung der Zertifizierungsgrundlage ISO 27001:2013

Es ist davon auszugehen, dass der Aufbau der ISO 27001, also die Struktur gemäß gemäß der Normkapitel 4 -10 im Großen und Ganzen beibehalten, es aber geringfügige Anpassungen geben wird.

Sobald die 2022er Version der ISO 27001 zur Referenz wird, sollte davon ausgegangen werden, dass

  • bestehende Risikomanagementprozesse an neue Kontrollen angepasst werden muss,
  • dass die ‚Erklärung zur Anwendbarkeit‘ überarbeitet werden muss,
  • dass das Richtlinien-Rahmenwerk und Dokumentation ergänzt werden sollte,
  • dass organisationsweit neue Regelungen und Maßnahmen kommuniziert werden müssen.

Nach aktuellen Informationen wird die neue Version der ISO 27001 im Oktober dieses Jahres erscheinen. Ein genaues Datum wurde bis dato nicht publiziert. 

Nicht zu überlesen ist und bleibt, dass die Absicherung von Zugängen, das Handling von privilegierten Nutzerrechten sowie der Umgang mit Externen Nutzern weiterhin ein Fokusbereich des Standards bleibt.

Darüber hinaus enthält das dedizierte Monitoring von Aktivitäten und ‚Data Leak Prevention‘ Einzug in den Anforderungskatalog.

Mit VISULOX ISO 27002 Anforderungen ad hoc umsetzen 

Übersetzt heißt dies, dass die Steuerung von administrativen Zugriffen und eine lückenlose Dokumentation privilegierten Nutzerzugriffen, sowie das Kontrollieren von transferierten Informationen mehr und mehr gefordert wird. Die Neufassungen der Best Practice Ansätze und Empfehlungen in diesen Bereichen, lassen nicht länger darauf schließen, dass dementsprechende Mindestanforderungen rein organisatorisch abgehandelt werden können.

Gemäß der neuen Einteilung der Kontrollen in Kategorien supportet VISULOX eine große Zahl von Anforderungen der ISO 27002:2022 adhoc:

  • 20 von 37 im Bereich Organizational Controls, darunter
    • Access Control
    • Information Transfer
    • Information Security in supplier relationships
    • Protection of Records
    • Collecting of Evidences

  • 2 von 8 im Bereich People Controls
    • Remote Working
    • Information Security Event Reporting
  • 1 von 7 im Bereich Physical Controls
    • Equipment Maintenance
  • 19 von 34 im Bereich Technical Controls
    • Information Access Restrictions
    • Privileged Access Rights
    • Information Deletion
    • Access to source code
    • Change Management

Kontaktieren Sie uns gerne für eine detaillierte Auflistung aller Kontrollen der ISO 27001:2022 bei der wir Sie mit der Einführung unserer PAM-Lösung VISULOX audit-fest unterstützen können. Gerne stellten wir Ihnen auch ein Mapping der ISO 27001:2013 auf die Kontrollen der ISO 27001:2022 zur Verfügung. VISULOX ist eine ganzheitliche PAM-Lösung zur Steuerung, Kontrolle und lückenlosen Dokumentation aller kritischen privilegierten Nutzeraktivitäten, innerhalb Ihrer IT- und OT Infrastrukturen

VISULOX wird seit 2003 von amitego in Stuttgart entwickelt und weltweit von mittelständischen bis Fortune 500 Kunden eingesetzt und fortlaufend weiterentwickelt.

Erfahren Sie mehr.

Wir haben noch mehr Themen über die wir gerne schreiben.

Wie Sie Daten vor dem Abfluss schützen

Wie Sie Daten vor dem Abfluss schützen

Sie möchten den Daten- und Informationstransfer zwischen IT-Systemen selbst kontrollieren? Mit VISULOX gemäß Informationsklassifizierungen zum Schutz vor Datenabfluss.

Cookie Consent with Real Cookie Banner