Eine Übersicht aller Neuerungen der ISO/IEC 27001:2022
Nach gut acht Jahren wurde die ISO-Norm 27001:2022 neu strukturiert und veröffentlicht. Das Warten hat sich gelohnt, denn Themen, die bisher nicht oder nur unzureichend berücksichtigt waren, wurden integriert und an den Stand der Technik angepasst. So werden zum Beispiel nicht nur neue Szenarien und Risiken behandelt, sondern auch Aspekte der Cybersicherheit, der Cloud und des Datenschutzes integriert.
Grundlegendes zur ISO/IEC 27002
Die ISO/IEC 27002 ist Bestandteil der ISO 27000-Normenreihe, die Standards zur Informationssicherheit definiert. Bei der Norm handelt es sich um eine Sammlung von Best Practices, gewissermaßen ein Leitfaden, um die Maßnahmen des Anhangs A der ISO 27001 bestmöglich und praxisorientiert umzusetzen und so optimal Ihr Informationssicherheitsmanagementsystem (ISMS) auszubauen. In der ISO 27001 werden die Anforderungen an ein ISMS festgelegt, in deren Anhang A die unterschiedlichen Maßnahmen (Controls) aufgelistet; wobei nur die ISO-Norm 27001 zertifizierbar ist.
Was ändert sich im Wesentlichen in der ISO/IEC 27002?
Die Struktur ändert sich - anstelle von 14 Kapiteln und 114 Maßnahmen (Controls) ist die neue ISO/IEC 27002 in 93 Maßnahmen strukturiert, die in vier Themenbereiche unterteilt werden:
- Organisational controls (Kap. 5) - 37 organisatorische Maßnahmen.
- People controls (Kap. 6) - 8 personenbezogene Maßnahmen;
- Physical controls (Kap. 7) - 14 physische Maßnahmen;
- Technology controls (Kap. 8) - 34 technologische Maßnahmen;
Welche neuen Maßnahmen gibt es?
Die ISO/IEC 27002 hat folgende elf technologische Maßnahmen neu definiert:
- Configuration management (8.9) - Konfigurationsmanagement: Konfigurationen (Hardware, Software, Dienste und Netzwerke) sollten mit den erforderlichen Sicherheitseinstellungen konfiguriert werden und nicht unbefugt verändert werden.
- Information deletion (8.10) - Löschung von Informationen: Die unnötige Weitergabe sensibler Daten sollte verhindert werden und die gesetzlichen und vertraglichen Anforderungen an die Löschung von Daten erfüllt werden.
- Data masking (8.11) – Datenmaskierung: Fokus auf den Schutz personenbezogener Daten, durch Techniken wie Datenmaskierung, Pseudonymisierung, Anonymisierung, usw.
- Data leakage prevention (8.12) - Verhinderung von Datenlecks: Sicherung und Vorbereitung der Systeme um Datenlecks zu vermeiden.
- Web filtering (8.22) - Webfilterung: Management der Filterung des Zugriffs auf externe Websites, um potenzielle Cyberangriffe zu verhindern.
- Monitoring activities (8.16) - Überwachung von Aktivitäten: um Verletzungen der Informationssicherheit zu vermeiden, sollten Systeme, Netzwerke sowie Anwendungen auf anormales Verhalten hin überwacht und geeignete Maßnahmen ergriffen werden.
- Secure coding (8.28) - Sicheres Coding: hier ist sicherzustellen, dass die Prinzipien der sicheren Kodierung bei der Softwareentwicklung gelten verringern.
- Information security for use of cloud services (5.23) - Informationssicherheit für die Nutzung von Cloud-Diensten: behandelt die Verfahren für den Erwerb, die Nutzung, die Verwaltung und die Einstellung von Cloud-Computing-Diensten, damit sie den Anforderungen der Sicherheitspolitik entsprechen.
- Threat intelligence (5.7) – Bedrohungsintelligenz: explizite Forderung Informationen über die aktuelle Bedrohungslage zu sammeln, zu analysieren, und sich entsprechend vorzubereiten.
- CT readiness for business continuity (5.30) – IKT-Bereitschaft für Business Continuity: neue Begriffsdefinition ICT, der sich aus Information, Kommunikation und Technologie zusammensetzt. Soll die Verfügbarkeit von Informationen innerhalb der Organisation und anderer damit verbundener Werte während einer Störung sicherstellen.
- Physical security monitoring (7.4) – Physische Sicherheitsüberwachung: ermöglicht es, ein gutes System zur ständigen Überwachung der Geschäftsgebäude zu implementieren, um unbefugten physischen Zugang zu erkennen.
Jede Maßnahme enthält auch zusätzliche Informationen wie den Zweck der Maßnahme und eine Tabelle mit Attributen (Arten von Kontrollen, Informationssicherheitseigenschaften, Cybersicherheitskonzepte, Betriebsfähigkeit, Sicherheitsdomänen). Diese ermöglichen nicht nur eine bessere Bewertung der Controls in Bezug auf ihre jeweiligen Schutzziele, sondern helfen auch, Kontrollen nach ihrer Wirkungsweise zu klassifizieren.
Welche Auswirkungen hat die neue ISO/IEC 27001:2022 auf Ihr Unternehmen?
Wenn Ihr Unternehmen bereits zertifiziert ist, bleibt Ihre Zertifizierung weiterhin gültig, es gibt eine Übergangsfrist. Die Übergangsfrist endet gemäß IAF MD26:2022 nach dem 31. Oktober 2025. Zudem wird damit gerechnet, das die Zertifizierer frühestens ab dem 2. Quartal 2023 die neue Norm zur Anwendung bringen könne. Unternehmen haben dadurch genügend Zeit, die ISO/IEC 27001:2022 in ihrem ISMS zu etablieren.
Gern stehen wir Ihnen für Ihre Fragen zur Verfügung.
Unser Tipp: Besuchen Sie das Seminar "ISO 27001 / 27002 Update 2022" und lernen Sie in dem diesem eintägigen Update die neuesten Änderungen kennen. Sie wissen, an welchen Stellen Sie Ihr ISMS nachrüsten müssen und wie Sie es fit für das nächste Audit machen. Wir bereiten Sie intensiv auf die Zertifizierungsprüfung vor, die Sie am Ende absolvieren können.
Ihr Ansprechpartner: Andreas Stammhammer
Leiter Vertrieb
Gerne stehe ich Ihnen persönlich bei allen Fragen zur Verfügung!Telefon: 0531 70224942
E-Mail: a.stammhammer@kaemmer-consulting.de