Nach über neun Jahren ist die überarbeitete ISO/IEC 27002:2022-Norm endlich erschienen. Natürlich haben Unternehmen eine Übergangsfrist, um ihr ISMS auf den aktuellen Stand zu bringen. Trotzdem sollten Sie sich jetzt schon mit der überarbeiteten Norm beschäftigen, denn es hat sich nicht nur der Titel geändert. Was noch und weshalb es sich lohnt, das Thema schon heute anzupacken, erfahren Sie in diesem Beitrag.
ISO/IEC 27002:2022 – das Warten hat sich gelohnt
Die ISO/IEC 27002 ist nach der ISO/IEC 27001 (die aktualisierte Version ist noch ausstehend) die zweitwichtigste Norm, wenn es darum geht, ein ISMS in einem Unternehmen einzuführen.
Neu heisst die ISO/IEC-Norm «Information security, cybersecurity and privacy protection – Information security controls». Damit ist klar, dass die Informationssicherheit in einem viel breiteren Kontext betrachtet wird. Die Inhalte berücksichtigen zusätzliche Cyberelemente (Cybersecurity). Gleichzeitig bekommt auch der Datenschutz einen grösseren Stellenwert (Privacy Protection). Die ISO/IEC 27002:2022 beinhaltet Umsetzungsempfehlungen (= informativ, nicht normativ) für Controls. Das bedeutet, dass die Norm in einem Zertifikatsaudit nicht Bestandteil der Auditierung ist. Dennoch hat sie einen gewichtigen Einfluss.
Bedeutung der ISO/IEC 27002
Die Controls der 27002 zeigen den Umfang und Aufbau des Control-Sets (derzeit Anhang A genannt) der zukünftigen 27001-Norm. Die Umsetzungsempfehlungen sind eine ideale Orientierungshilfe für alle, die ein ISMS nach 27001 implementieren wollen. Gleichzeitig dienen sie den Auditoren als «Orientierung» in einem Zertifikatsaudit, um die Angemessenheit implementierter Controls im Unternehmen zu bewerten. Es ist anzunehmen, dass die Gliederung der 27002-Controls das Control-Set der zukünftigen ISO/IEC 27001-Norm widerspiegeln. Dies hat dann natürlich auch inhaltliche und strukturelle Auswirkungen auf darauf aufbauende Normen wie zum Beispiel die ISO/IEC 27019 für Energieversorger, ISO 27799 für den Bereich Krankenhäuser, ISO 27017 Cloud Services, ISO 27018 protection of personally identifiable information (PII) und ISO 27701 privacy information management etc.
Struktur der Norm ISO/IEC 27002:2022
Am Auffälligsten ist sicherlich, dass die Norm eine neue Struktur bekommen hat. Während in der bisherigen Version 14 Kapitel enthalten waren, sind es nun nur noch deren vier – namentlich:
-
-
Organizational controls (37)
-
People controls (8)
-
Physical controls (14)
-
Technological controls (34)
-
In Klammern sind die Anzahl der beinhalteten Massnahmen aufgeführt. Gegenüber der 2013er-Version sind es «nur» noch 93 Controls. Auch wenn sich die Anzahl reduziert hat (114 waren es in der 2013er-Version), ist das kein Hinweis darauf, dass die Themenvielfalt abgenommen hat – im Gegenteil: Es sind 11 neue Massnahmen hinzu gekommen; nur drei Massnahmen wurden gestrichen (11.2.5 Removal of assets, 8.2.3 Handling of Assets, 16.1.3 Reporting information security weaknesses). Diverse Controls würden konsolidiert zu 19; 61 Controls sind unverändert. Zudem wurden zahlreiche Controls zusammengefasst, zum Beispiel im Zugriffsrechte-Management.
Auf der anderen Seite wurden neue Schwerpunkte gelegt, welche vor allem die Vermeidung, Entdeckung und Reaktion von Cyberangriffen sowie den Schutz von Daten stärker in den Fokus rücken – wie dies bereits aus dem NIST Cybersecurity Framework bekannt ist. Somit erhöht sich wohl generell der Aufwand zur Umsetzung für ein Unternehmen. Gleichzeitig wird es auch schwieriger, entsprechende Massnahmen auszuklammern, wenn diese im eigenen Unternehmen nicht anwendbar sind.
Die Kontrollen in der neuen Version von ISO/IEC 27002:2022 haben zwei neue Elemente in ihrer Struktur:
- Attributtabelle: Attribute, die mit der Kontrolle verbunden sind (Erläuterung siehe nächster Abschnitt)
- Zweck: Grundprinzipien für die Anwendung der Kontrolle
Diese hinzugefügten Elemente machen es einfacher, Informationen zu finden, um besser zu verstehen, wie eine Kontrolle zu sortieren und zu begründen ist. Ausserdem wurde in der neuen ISO 27002 eine Ebene des Untertitels gestrichen.
Alle Controls besitzen neuerdings Attribute, die mit der Kontrolle verbunden sind:
-
-
Control type: Preventive, Detective, and Corrective
-
Information security properties: Confidentiality, Integrity, and Availability
-
Cybersecurity concepts: Identify, Protect, Detect, Respond, and Recover
-
Operational capabilities: Governance, Asset management, Information protection, Human resource security, Physical security, System and network security, Application security, Secure configuration, Identity and access management, Threat and vulnerability management, Continuity, Supplier relationships security, Legal and compliance, Information security event management, and Information security assurance
-
Security domains: : Governance and ecosystem, Protection, Defense, and Resilience
-
Diese dienen der Bildung von Views auf das gesamte Control-Set. Jedes Attribut kann wiederum mit mehreren sogenannte Hashtags (#) versehen werden, die es ermöglichen, Controls semantisch zusammenzufassen. Damit wird berücksichtigt, dass es durch die Reduktion der Hauptabschnitte auf nur noch vier Bereiche schwieriger wird, Einzelthemen wie beispielsweise Incident-Management zu finden. Aber mit Tags wie #asset_management (vormals A.8) oder #supplier_relationships_security (vormals A.15) lassen sich thematisch zusammenhängende Sub-Sets bilden. Dies erleichtert den Umstieg auf die neue Fassung erheblich. Gleichzeitig trägt die neue Struktur der Erkenntnis Rechnung, dass Controls oftmals in verschiedenen Bereichen bedeutsam sind und bisher «künstlich» in einen Rahmen aus Haupt- und Unterabschnitten gepresst wurden.
11 neue Controls des ISO/IEC 27002:2022
ISO/IEC 27002:2022 listet derzeit 11 neue Controls auf. Dies sind auch gleichzeitig Indikatoren für die neuen thematischen Schwerpunkte. Das bedeutet für Sie:
-
Threat intelligence: Sie müssen sich aktiv darum kümmern, Angreifer und ihre Methoden vor dem Hintergrund Ihrer IT-Landschaft zu verstehen.
-
Information security for use of cloud services: Cloud-Initiativen müssen ganzheitlich von der Einführung über den Betrieb bis hin zur Exit-Strategie betrachtet werden.
-
ICT Readiness for Business Continuity: Die Anforderungen der IT-Landschaft müssen aus der Business-Prozess-Perspektive abgeleitet werden.
-
Physical security monitoring: Die Vermeidung unautorisierter physischer Zutritte rückt stärker in den Fokus und soll mittels Alarmierungs- und Überwachungssystemen verhindert werden.
-
Configuration management: Die sichere Konfiguration von IT-Systemen und die Härtung gewinnen an Bedeutung.
-
Information deletion: Das sichere Löschen und insbesondere die Wahrung externer Anforderungen, beispielsweise Löschkonzepte vom Datenschutz, müssen umgesetzt werden.
-
Data masking: Mittels verschiedener Maskierungstechniken wie Anonymisierung und Pseudonymisierung soll der Schutz von Daten erhöht werden.
-
Data leakage prevention: Data Leakage Prevention (DLP) erhält neu Beachtung und soll helfen, den unautorisierten Datenabfluss zu vermeiden.
-
Monitoring activities: Netzwerk- und Anwendungsverhalten sollen überwacht werden, um Anomalien zu detektieren.
-
Web filtering: Der Zugriff auf externe Websites, die Schad-Codes enthalten können, ist mittels Webfilter-Methoden zu verhindern.
-
Secure coding: Das sichere Programmieren, die Nutzung von Tools, die Überwachung genutzter Bibliotheken und Repositorien, das Kommentieren und Nachvollziehen von Änderungen und das Vermeiden unsicherer Programmiermethoden sind die abschliessenden Punkt der neuen Controls im ISO/IEC 27002:2022.
ISO/IEC 27002:2022 ist mehr als nur ein Facelifting
Die ISO/IEC 27002:2022 hat sprichwörtlich ein komplett neues Layout bekommen. Die bisherigen Massnahmen wurden in vier Kategorien gruppiert und, wo sinnvoll, zusammengefasst. Insgesamt sind 11 von total 93 Massnahmen neu dazugekommen. Insbesondere rücken dabei die Vermeidung, Entdeckung und Reaktion von Cyberangriffen sowie der Schutz von Daten stärker in den Fokus. Dadurch ist die Ausgabe 2022 umfassender. Sie trägt neuen Trends und Veränderungen der Gefahrensituation Rechnung. Jedoch ist es nicht damit getan, die neuen Massnahmen nur umzusetzen, denn auch in den bekannten Massnahmen sind neue beziehungsweise erweiterte Anforderungen hinzugekommen.
Noch ist die Norm nicht final. Doch schon jetzt sollten sich alle, die ein ISMS nach ISO/IEC 27001 betreiben, mit dieser Norm auseinandersetzen und bereits jetzt Schritte einleiten. Ab Gültigkeit der Überarbeitung (ISO/IEC 27001) besteht voraussichtlich eine Übergangszeit von einem Jahr, in der die alte Struktur noch für eine Zertifizierung herangezogen werden kann. Bestehende Zertifizierungen müssen voraussichtlich erst nach drei Jahren auf die neue Struktur umstellen. Auf jeden Fall sollten sich aber alle Unternehmen an den neuen Kontrollzielen orientieren und diese implementieren.
Die folgenden Schritte sollten Sie befolgen:
- Überprüfen der Risikobehandlung und sicherstellen, dass sie mit der neuen Struktur und Nummerierung der Controls übereinstimmt.
- Angleichung der Liste der Kontrollen im Statement of Applicability.
- Aktualisieren der Richtlinien und Verfahren und/oder schreiben neuer Dokumente zu den neuen Controls.
- Da die Änderung des Standards 12 neue Kontrollen umfasst, ist diese Anpassung der Risikobehandlung und der Dokumentation die grösste Aufgabe.
Haben Sie Fragen dazu? Unsere Experten unterstützen Sie gerne!
(Update: März 2022)