NEWS 03.03.2022

Die neue ISO/IEC 27002:2022 ist veröffentlicht.

Die neue ISO/IEC 27002:2022 ist da. Was ändert sich mit dem neuen Standard?

Ein kurzer Überblick.

03.März 2022

In Verbindung mit der neuen ISO/IEC 27002:2022 springt einem zunächst der aktualisierte Titel „Information security, cybersecurity and privacy protection - Information security controls“ sofort ins Auge. Das allein unterstreicht schon, dass Informationssicherheit in einem umfassenderen, globaleren Kontext beleuchtet wird. Es werden nämlich einerseits die Elemente betreffend „Cybersecurity“ berücksichtigt und andererseits dem Datenschutz („Privacy Protection“) ein größerer Stellenwert eingeräumt. Aber auch die neue Struktur sowie zusätzliche Maßnahmen bilden den Kern dieser revidierten Version.

 

Was ändert sich mit dem neuen Standard?

Während in der alten Version die 114 Maßnahmen in 14 Kapitel untergliedert wurden, sind es jetzt nur mehr vier. Dabei handelt es sich um die Kapitel oder Kategorien

 

  • Organizational controls (Kategorie „Organisatorisch“): 37 Maßnahmen, die als "organisatorisch" eingestuft werden

  • People controls (Kategorie „Menschen“): 8 Maßnahmen, die einzelme oder mehrere Menschen betreffen

  • Physical controls (Kategorie „Physisch“): 14 Maßnahmen, die physische Objekte betreffen

  • Technological controls (Kategorie „Technologie“): 34 Maßnahmen, die sich auf die Technik beziehen

 

In Summe sind es also jetzt 93 Kontrollmaßnahmen, gegenüber den bisher bekannten 114. Trotz dieser verringerten Anzahl sind weitere elf Maßnahmen neu hinzugekommen.

Wie ist das zu verstehen?

Ganz einfach erklärt: einige Maßnahmen wurden sinnvoll zusammengefasst, während elf neue, wichtige Maßnahmen wie zum Beispiel „Cloud Services, Secure Coding oder Data Leakage Prevention“ hinzugekommen sind. Das sinnvolle Zusammenfassen kann sehr gut mit A.5.1.1 Informationssicherheitsrichtlinien (mit Erstellung, Freigabe, Verteilung und Schulung) und A.5.1.2 Prüfung der Informationssicherheitsrichtlinien (mit der regelmäßigen, jährlichen Aktualisierung) erklärt werden. Diese beiden Kontrollmaßnahmen wurden nun einfach in einem einzigen Satz zusammengeführt. Also inhaltlich nicht „gestrichen“, sondern lediglich kompakter gestaltet.

 

Und zu guter Letzt hat sich auch der Aufbau und die Struktur der Maßnahmen ein wenig verändert.  Eine Tabelle mit allen Maßnahmen im Überblick (im Anhang A) sowie eine Verknüpfung der neuen Maßnahmen zu den bisherigen Maßnahmen aus der ISO/IEC 27002:2013 (im Anhang B) rundet dann den aktualisierten ISO/IEC 27002:2022 ab.

 

Welche Auswirkungen hat die aktualisierte ISO/IEC 27002:2022 auf ihr ISMS?

Auf den ersten Blick müsste man nur die neuen elf Maßnahmen einfach umsetzen – damit ist es aber nicht getan. Denn in den bisherigen Maßnahmen finden sich neue bzw. erweiterte Anforderungen, welche ebenfalls geprüft und beispielsweise im Regelwerk, in der Dokumentation und im Rahmen der Prozessintegration angepasst werden müssen.

 

Insbesondere die möglichen Auswirkungen auf das Risikomanagement und das Statement of Applicability (SoA) sind zu prüfen. Aber auch das sollte in der Übergangsfrist von zwei Jahren möglich sein.

Die neue ISO/IEC 27002:2022 hat einen neuen Anstrich bekommen. Die bisherigen 114 Kontrollmaßnahmen wurden sinnvoll zusammengefasst und in 4 Kategorien gegliedert. Weitere elf Maßnahmen sind neu dazugekommen. Alles in allem eine Verbesserung des Sicherheitsniveaus. Demzufolge empfehlen wir eine rasche Anpassung ihres ISMS.

 

secriso Consulting kann Sie und Ihr Unternehmen bei ihren Anpassungen zur ISO/IEC 27002:2022 tatkräftig unterstützen. Kontaktieren Sie uns einfach für eine Anfrage! Sie erreichen uns per Mail unter office@secriso.com oder telefonisch unter

+43 463 276376