Apr 1, 2022
Sie haben ein ISMS, das auf ISO 27001 basiert oder sind ISO 27001-zertifiziert? Dann gibt es einiges umzukrempeln die nächsten Jahre. Die Umsetzungsempfehlungen in ISO 27002 wurden in den letzten Jahren umfassend überarbeitet. Was sich geändert hat und wer zu welchem Zeitpunkt davon betroffen ist, erfahren Sie in diesem Beitrag.
Was hat sich geändert?
Cloud und Datenschutz: Wird die neue Norm den Themen gerecht?
Bin ich betroffen? Wann muss ich umstellen?
Wie schaffe ich die Umstellung?
Der Standard wurde sowohl inhaltlich, sprachlich als auch strukturell massgeblich angepasst.
Statt 114 Massnahmen (Kontrollziele, Controls) in 14 Kategorien gibt es nun 93 Controls in 4 Kategorien. Die Controls werden der Themen-Kategorie zugeteilt, welche die jeweilige Massnahme massgeblich bestimmt.
Kategorie | Anzahl Massnahmen (Controls) |
---|---|
Organizational controls | 37 |
People controls | 8 |
Physical controls | 14 |
Technological controls | 34 |
Die bisherigen 114 Massnahmen wurden den vier neuen Kategorien zugeteilt und wo sinnvoll zusammengeführt. Eine Massnahme (11.2.5 Removal of assets) wurde gestrichen. 11 Massnahmen sind neu dazugekommen:
Kapitel | Titel | Anforderung | Kategorie |
---|---|---|---|
5.7 | Threat intelligence | Informationen über aktuelle Bedrohungen der Informationssicherheit sollten laufend gesammelt und analysiert werden, sodass die Bedrohungslage der Organisation laufend eingeschätzt werden kann. | Organizational Control |
5.23 | Information security for use of cloud services | Richtlinien und Verfahren für den Erwerb, die Nutzung, Verwaltung und insbesondere die Beendigung von Cloud-Lösungen sollten in Übereinstimmung mit den Informationssicherheitsanforderungen der Organisation festgelegt werden. | Organizational Control |
5.30 | ICT Readiness for Business Continuity | Basierend auf den Geschäfts- und ICT-Kontinuitätsanforderungen sollten entsprechende Vorkehrungen und Massnahmen für die Aufrechterhaltung der ICT geplant, umgesetzt und regelmässig getestet und den aktuellen Bedingungen angepasst werden. | Organizational Control |
7.4 | Physical security monitoring | Der physische Zugang zu ICT-Systemen und -Komponenten sowie Räumlichkeiten sollten durch entsprechende Schutzvorkehrungen und -massnahmen wie Alarm- und Überwachungssysteme, Schlösser, Zäune und Wachen für Unbefugte verhindert werden. | Physical Control |
8.9 | Configuration management | Die aktuelle Konfiguration von Hardware, Software, Diensten, Clustern und Netzen sollten einschliesslich Sicherheitskonfiguration erfasst, dokumentiert, überwacht und überprüft und nur über einen Change Management-Prozess geändert bzw. aktualisiert werden. | Technological control |
8.10 | Information deletion | In Informationssystemen und Geräten gespeicherte Informationen sollten gelöscht werden, wenn sie nicht mehr benötigt werden. Die Löschkonzepte des Datenschutzes sollten umgesetzt werden. | Technological control |
8.11 | Data masking | Wo sensible Daten nicht zwingend gebraucht werden (z. B. in Test- und Entwicklungsumgebungen oder teilweise auch in Reports und Ansichten) sollten sie durch Maskierungstechniken wie Anonymisierung und Pseudonymisierung geschützt werden. | Technological control |
8.12 | Data leakage prevention | Massnahmen zur Erkennung und Verhinderung von Datenlecks sollten auf Server, Netzwerke und Endgeräte angewendet werden, welche sensible Informationen verarbeiten, speichern oder übertragen. | Technological control |
8.16 | Monitoring activities | Netze, Systeme und Anwendungen sollten auf anormales Verhalten, verdächtige Aktivitäten und andere Abweichungen hin überwacht werden, um mögliche Vorfälle im Bereich der Informationssicherheit zu bewerten und allenfalls zu verhindern. | Technological control |
8.22 | Web filtering | Der Zugang zu externen Websites sollte verwaltet werden, um die Gefährdung durch bösartige Inhalte zu verhindern. Dies kann durch den Einsatz von Web-Proxy-Servern erzielt werden. | Technological control |
8.28 | Secure coding | Bei der Softwareentwicklung sollten die Grundsätze, Verfahren und aktuelle Techniken der sicheren Kodierung angewandt werden. Dadurch lässt sich die Entstehung von möglichen Sicherheitslücken reduzieren. | Technological control |
Attribute bieten weitergehende Informationen und Hilfestellungen, z. B. zur Wirkungsweise der Massnahme. Zudem bieten sie eine alternative Sortiermöglichkeit der Massnahmen und sollen für mehr Flexibilität und Interoperabilität zu anderen Standards sorgen. Die folgenden Attribute sind im neuen Standard enthalten:
Control type | Wirkungsweise der Massnahme [#Preventive, #Detective, #Corrective] |
---|---|
Information security property | Auswirkung auf Sicherheitsziele [#Confidentiality, #Integrity, #Availability] |
Cybersecurity concepts | Einordnung in Cybersecurity Frameworks [#Identify, #Protect, #Detect, #Respond, #Recover] |
Operational capabilities | Operative Fähigkeiten [#Application security, #Asset management, #Continuity, #Data Protection, #Governance, #Human resource security, #Identity and access management, #Information security event management, #Legal and compliance, #Physical security, #Secure configuration, #Security assurance, #Supplier relationships security, #System and network security, #Threat and vulnerability management] |
Security Domains | NIS Sicherheitsdomänen (ENISA) [#Governance_and_Ecosystem, #Protection, #Defense, #Resilience] |
Die Informationssicherheit wird neu ganzheitlicher betrachtet und berücksichtigt aktuelle Entwicklungen. Was das für die Cloud und den Datenschutz bedeutet:
«Einer der neuen Controls (5.23) betrifft die Nutzung von Cloud Services. Im Fokus steht hier das zentrale Thema geteilte Zuständigkeit (shared responsibility) zwischen Cloud Service Provider (CSP) und Cloud Service Customer CSC sowie cloudspezifische Risiken.
Gemäss unserer Erfahrung lohnt es sich, für Unternehmen mit vielen Cloud Services weiterhin spezifischere Standards oder Best Practices zum Thema Cloud Security zu berücksichtigen. Beispielsweise ISO/IEC 27017:2015 oder die Vorgaben der Cloud Security Alliance.» Daniel Michel, Lead Security Consultant im Bereich Cloud
«Der Datenschutz ist wie schon in der älteren Version ähnlich dürftig abgedeckt. Das liegt vor allem daran, dass in einer internationalen Norm wie ISO 27002 nicht jedes Gesetz adressiert werden kann. Daher sollten Sie sich, um datenschutzkonform unterwegs zu sein, zusätzlich mit den Anforderungen der für Sie anwendbaren Gesetze (z. B. DSG, DSGVO) auseinandersetzen.
Dennoch: Die aktualisierte ISO 27002 unterstützt noch besser dabei, die Anforderungen aus den rechtlichen Vorgaben des Datenschutzes in die Praxis umzusetzen. Mit den Kapiteln 8.10 (Information deletion) und 8.11 (Data masking) werden neu zwei Themen aufgegriffen, die gerade im Datenschutz sehr wichtig sind. Zudem hat bereits viel Arbeit für den Datenschutz erledigt, wer die ISO 27002 vollständig umsetzt.» Monika Stucki, Senior Security Consultant im Bereich Datenschutz
Basiert Ihr ISMS auf ISO 27001 oder ist Ihre Organisation ISO 27001-zertifiziert, sind Sie von den Änderungen betroffen. Sie werden mittelfristig – innerhalb der nächsten 12 bis 36 Monate – eine Anpassung vornehmen müssen.
Sie müssen Ihr ISMS nach Ablauf Ihres aktuellen Zertifikats – was spätestens nach drei Jahren der Fall ist – dem neuen Standard anpassen. So oder so sollten Sie sich aber bereits heute an den neuen Kontrollzielen orientieren und diese implementieren.
Wir empfehlen, Ihr ISMS bereits nach der neuen Struktur zu erstellen und mit der Mapping-Tabelle (siehe Punkt «Überführen Sie Ihre Controls mit der Mapping-Tabelle») zu arbeiten.
Sie können die Norm ab sofort im offiziellen ISO-Shop kaufen.
Überführen Sie Ihre Controls mit der Mapping-Tabelle
Sie finden sich nicht mehr zurecht? Die Anpassung der Kategorien hat zu vielen Änderungen und Verschiebungen geführt. Im hinteren Teil der Norm gibt es eine einfach anzuwendende Mapping-Tabelle, über die alle Controls der 27002:2013 effizient auf die neue Nummerierung der ISO/IEC 27002:2022 überführt werden können.
Beurteilen und definieren Sie die 11 neuen Controls
Setzen Sie die neuen Controls um und aktualisieren Sie bestehende Controls
Die neuen Themen des ISO/IEC 27002:2022 sollten jeweils spezifisch für Ihre Organisation sinnvoll ausgearbeitet werden. Redguards Spezialisten haben die dafür notwendige Erfahrung in der Ausgestaltung und Umsetzung sowie Vergleichswerte.
Zusätzlich müssen auch die erweiterten Anforderungen in bestehenden Massnahmen umgesetzt und die Struktur angepasst werden. Erleichtern Sie sich die Umstellung und lassen Sie sich von Experten begleiten. Kontaktieren Sie uns noch heute – Wir beraten Sie gerne unverbindlich.
Die Antwort heisst immer: jetzt. Denn die (Übergangs-)zeit ist schnell verstrichen neben allen anderen Projekten, die anstehen. Deshalb am besten jetzt die Analyse und Planung durchführen. So sichern Sie sich rechtzeitig die notwendigen Freigaben, Budgets und Slots bei Experten. Sie möchten Ihr bestehendes ISMS dem neuen Standard anpassen – oder ein komplett neues ISMS aufbauen? Wir unterstützen Sie bei der effizienten Überführung in den ISO/IEC 27002:2022. Lassen Sie sich von uns unverbindlich beraten.