Novellierung der ISO/IEC 27002 im 2. Halbjahr 2022
Die ISO/IEC 27002 ist ein Leitfaden für Informationssicherheitsmaßnahmen. Für die Norm ist jeweils fünf Jahre nach dem letzten Inkrafttreten eine Überarbeitung vorgesehen.
Momentan wird die ISO/IEC 27002 noch in der deutschen Fassung aus dem Jahr 2017 (englische Fassung aus 2013) angewendet. Entsprechend dem 5-jährigen Überarbeitungsturnus steht jedoch für 2022 eine Novellierung an – der FDIS liegt bereits vor. Obwohl der Standard informativen Charakters und daher prinzipiell nur als Umsetzungsempfehlung zu verstehen ist, wird auf ihn aus der normativen ISO/IEC 27001, Anhang A referenziert. Damit ist die IEC/ISO 27002 zentraler Bezugspunkt für Zertifizierungen nach ISO/IEC 27001.
Was wird sich ändern?
Die ISO/IEC 27002:2013/2017 hieß bisher "Information technology - Security techniques - Code of practice for information security controls". Schon die Änderung des Titels in "Information security, cybersecurity and privacy protection - information security controls" deutet implizit darauf hin, dass wesentliche Änderungen vorgenommen worden sind. Diese Änderungen betreffen sowohl die Strukturierung und Anzahl der Controls (Maßnahmen) als auch die Einführung eines neuen Normenkonzepts.
Der Anwendungsbereich der Norm hat sich nicht verändert und adressiert weiterhin sowohl Organisationen, die ein ISMS gemäß ISO/IEC 27001 eingerichtet haben und hierfür Maßnahmen auswählen oder allgemein akzeptierte bzw. selbst entwickelte Maßnahmen für Informationssicherheit umsetzen oder entwickeln möchten.
Änderungen kurz und kompakt
- Aufbau: bislang: 14 Control Clauses (Sicherheitsmaßnahmen) mit 35 Security Categories (Hauptsicherheitskategorien) und 114 Controls
- Neu:
- vier Themes (Themen): Organizational Controls, People Controls, Physical Controls und Technological Controls
- den Themen sind nur noch insgesamt 93 Controls zugeordnet (der Anhang soll ein Mapping der alten auf die neuen Controls enthalten)
- keine bisherige Control wurde unverändert übernommen:
- 11 komplett neue Controls
- 1 Control nicht übernommen (11.2.5 Removal of assets)
- 1 Control aufgeteilt
- 56 Controls auf 24 Controls komprimiert
- verbleibende Controls neu formuliert
- zu jeder Control ein Abschnitt mit Implementierungsanleitung (Guidance) und Erläuterungen (Other Information) formuliert
- neues Konzept Attribut: den Controls wurden sog. Attributes aus fünf Kategorien mit Werten aus einem zugehörigen Wertebereich hinzugefügt
- Control Type (Kontrolltyp): #Preventive, #Detective, #Corrective
- Information Security Properties (IS-Eigenschaften): #Confidentiality, #Integrity, #Availablity
- Cyber Security Concepts (Cyber-Sicherheitskonzepte): #Identify, #Protect, #Detect, #Respond, #Recover
- Operational Capabilities (Operative Fähigkeiten): #Governance, #Asset_management, #Information_protection, #Human_resource_security, ...
- Security Domains (Sicherheitsdomänen): #Governance_and_Ecosystem, #Protection, #Defence, #Resilience
- jeder Control wird zu jedem Attribut mindestens ein Wert zugeordnet
Damit setzt sich eine Control zukünftig aus den folgenden Bestandteilen zusammen: Control Title (Bezeichnung der Maßnahme), Attribute Title (Werte der jeweiligen Attribute), Control (Beschreibung der Maßnahme), Purpose (Zweck der Maßnahme), Guidance (Implementierungsanleitung) und Other Information (Erläuternder Text, Verweise).
Wie geht es danach weiter? Was müssen Kunden beachten, die ein System nach ISO/IEC 27001 betreiben?
Da die Änderungen an der Neuausgabe der ISO/IEC 27001 im Umfang relativ gering ausfallen, erwarten wir diese noch in 2022. Mit der Veröffentlichung beginnt auch die Umstellungszeit (Transition). Diese beträgt voraussichtlich 24 Monate.
Als Betreiber eines ISMS nach ISO/IEC 27001 sind Sie verpflichtet, die Umstellung zu planen. Damit sollten Sie in 2023 beginnen und entsprechende Ressourcen planen und bereitstellen. Auch wenn sich mit der Neuausgabe der ISO/IEC 27001 überwiegend „nur“ der Anhang A ändert, so sollten Sie den Aufwand durch die umfassende Strukturänderung der ISO/IEC 27002:2022 doch nicht unterschätzen.
Ansprechperson
Bei Fragen oder Hinweisen zum Thema Informationssicherheitsmanagementsysteme wenden Sie sich gern an Andreas Lemke.