Zum Inhalt springen Zur Navigation springen
ISO 27002: Auswirkungen auf die Informationssicherheit

ISO 27002: Auswirkungen auf die Informationssicherheit

Am 15. Februar 2022 wurde eine neue Version der ISO 27002 veröffentlicht. Diese berücksichtigt die technologische Entwicklung indem sie nicht nur neue Szenarien und Risiken behandelt, sondern auch Aspekte der Cybersicherheit, der Cloud und des Datenschutzes integriert. Dieser Artikel wird die wichtigsten Änderungen vorstellen und erklären, was die ISO 27002 für Unternehmen bedeutet.

Was ist die ISO 27002?

Die ISO 27002 ist ein Teil der ISO 27000-Normenreihe (Standards zur Informationssicherheit). Es handelt sich um eine Sammlung von Best Practices (Leitfaden), die Hinweise liefern für eine mögliche Umsetzung der Maßnahmen des Anhangs A der ISO 27001. Die ISO 27001 legt die Anforderungen an ein Informationssicherheitsmanagementsystems (ISMS) fest und Anhang A listet die verschiedenen Controls auf. Es ist jedoch zu beachten, dass nur die ISO-Norm 27001 zertifizierbar ist. Die ISO 27002 dient lediglich als Orientierungshilfe.

Was sind die wesentliche Änderungen der ISO 27002?

Anstelle von 14 Kapiteln und 114 Maßnahmen bringt die neue Version eine andere Struktur. Sie enthält 93 Maßnahmen, die in 4 Themen unterteilt sind:

  • 8 personenbezogene Maßnahmen;
  • 14 physische Maßnahmen;
  • 34 technologische Maßnahmen;
  • 37 organisatorische Maßnahmen.

Die folgenden 11 Maßnahmen wurden neu definiert:

Technologische Maßnahmen

  • Konfigurationsmanagement:
    Sorgt dafür, dass Hardware, Software, Dienste und Netzwerke mit den erforderlichen Sicherheitseinstellungen konfiguriert werden und dass die Konfiguration nicht unbefugt verändert wird.
  • Löschung von Informationen:
    Ermöglicht es, die unnötige Weitergabe sensibler Daten zu verhindern und die gesetzlichen und vertraglichen Anforderungen an die Löschung von Daten zu erfüllen.
  • Datenmaskierung:
    Hier geht es darum, personenbezogene Daten zu schützen, durch z.B. Techniken wie Datenmaskierung, Pseudonymisierung oder Anonymisierung.
  • Verhinderung von Datenlecks:
    Verhindert, dass Systeme oder Unbefugte auf vertrauliche Informationen zugreifen können.
  • Webfilterung:
    Ermöglicht die Filterung des Zugriffs auf externe Websites, um die Anfälligkeit für bösartige Inhalte zu verringern.
  • Überwachung von Aktivitäten:
    Hilft bei der Überwachung von Netzwerken, Systemen und Anwendungen, um anormales Verhalten zu erkennen und geeignete Maßnahmen zu ergreifen, um potenzielle Vorfälle im Zusammenhang mit der Informationssicherheit zu bewerten.
  • Sicheres Coding:
    Hier ist sicherzustellen, dass die Prinzipien der sicheren Kodierung bei der Entwicklung von Software angewendet werden, um sowohl die Anzahl potenzieller Sicherheitslücken als auch die von Fehlern in der Software zu verringern.

Organisatorische Maßnahmen

  • Informationssicherheit für die Nutzung von Cloud-Diensten:
    Behandelt die Verfahren für den Erwerb, die Nutzung, die Verwaltung und die Einstellung von Cloud-Computing-Diensten, damit sie den Anforderungen der Sicherheitspolitik entsprechen.
  • Bedrohungsintelligenz:
    Dieser Punkt betont, wie wichtig es ist, Informationen über die aktuelle Bedrohungslage zu sammeln, zu analysieren, und sich entsprechend vorzubereiten.
  • IKT-Bereitschaft für Business Continuity:
    Hilft, die Verfügbarkeit von Informationen innerhalb der Organisation und anderer damit verbundener Werte während einer Störung sicherzustellen.

Physische Maßnahmen

  • Physische Sicherheitsüberwachung:
    Ermöglicht es, ein gutes System zur ständigen Überwachung des Firmengeländes zu implementieren, um unbefugten physischen Zugang zu erkennen.

Jede Maßnahme enthält zudem zusätzliche Informationen wie den Zweck der Maßnahme und eine Tabelle mit Attributen (Kontrolltyp, Informationssicherheitseigenschaften, Cybersicherheitskonzepte, Betriebsfähigkeit und Sicherheitsdomänen). Diese ermöglichen es nicht nur, die Controls in Bezug auf die jeweiligen Schutzziele (Vertraulichkeit, Verfügbarkeit, Integrität) besser zu bewerten, sondern hilft auch bei der Klassifizierung der Controls nach ihrer Wirkungsweise.

Welche Auswirkungen hat die ISO 27002 auf Ihre Organisation?

Für Unternehmen, die bereits nach ISO 27001 zertifiziert sind

Wenn Ihr Unternehmen nach ISO 27001:2013 zertifiziert ist, bleibt Ihre Zertifizierung weiterhin gültig, weil der Hauptteil (die Kapitel 4-10) der ISO 27001 unverändert bleibt.

Die ISO 27001, die die Neuerungen von ISO 27002:2022 berücksichtigen wird, ist derzeit noch in der Bearbeitung und die Veröffentlichung wird Ende 2022 oder Anfang 2023 erwartet. Zudem gibt es eine 2-jährige Übergangsfrist ab dem Datum der offiziellen Veröffentlichung der neuen ISO 27001 in dem Unternehmen genügend Zeit haben, die angepassten Vorgaben aus der ISO 27002:2022 in ihrem Informationssicherheitsmanagementsystems zu integrieren.

Es ist jedoch notwendig, sich bereits jetzt mit der neuen Maßnahmenstruktur zu befassen und zu analysieren, welche Änderungen an Ihrem bestehenden ISMS vorzunehmen sind. Auf diese Weise ist Ihr Unternehmen gut vorbereitet und kann rechtzeitig die notwendigen Ressourcen für die Anpassung des ISMS bereitstellen.

Für Unternehmen, die sich nach ISO 27001 zertifizieren lassen möchten

Wenn Sie sich aber auf die Zertifizierung nach ISO 27001 vorbereiten, sollten Sie bei der Erstellung Ihres Informationssicherheitsmanagementsystem (ISMS) die neuen Controls (Maßnahmen) von der ISO 27002 berücksichtigen, damit Ihre ISMS mit dem neuen Standard übereinstimmt.

Für Unternehmen, die keine ISO 27001-Zertifizierung wollen

Selbst wenn Sie keine Zertifizierung anstreben, sollten Sie sich mit den neuen Maßnahmen vertraut machen und auf deren Grundlage Sicherheitsrichtlinien erstellen, um die Informationssicherheit in Ihrem Unternehmen zu erhöhen.

Informationssicherheit mit konkreten Maßnahmen

Die Cyberkriminalität nimmt von Tag zu Tag zu. Deshalb ist Informationssicherheit ein essenzielles Thema für Unternehmen, die sich nicht nur über die technologischen Entwicklungen und die Bedrohungslage auf dem Laufenden halten, sondern auch konkrete Maßnahmen (beispielsweise die der ISO 27002) zu ihrem Schutz ergreifen müssen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.