Seit seiner Veröffentlichung hat der Standard mehrere Änderungen erfahren, darunter die Aufnahme neuer Sicherheitsmaßnahmen und die Streichung des Abschnitts „Code of Practice“. In diesem Blogbeitrag werden wir einen Blick darauf werfen, was diese Änderungen für Unternehmen bedeuten und warum es wichtig ist, die aktualisierten ISO/IEC 27002-Standards zu übernehmen und zu befolgen.
Was ist ISO/IEC 27002?
ISO/IEC 27002 ist ein Informationssicherheitsstandard, der erstmals 2005 veröffentlicht wurde. Der Standard wurde von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und bietet eine Anleitung für die Auswahl und Implementierung von Sicherheitskontrollen für das Informationssicherheitsmanagementsystem (ISMS) eines Unternehmens
Die Norm basiert auf der weit verbreiteten Qualitätsmanagementnorm ISO 9001 und enthält eine umfassende Reihe von Sicherheitskontrollen, die zum Schutz der Informationswerte einer Organisation eingesetzt werden können
Im Jahr 2013 wurde ISO/IEC 27002 überarbeitet und aktualisiert, um den Veränderungen in der Technologie und den Branchenpraktiken Rechnung zu tragen. Die bemerkenswerteste Änderung in der aktualisierten Version des Standards ist die Streichung des Abschnitts „Code of Practice“.
Die ISO/IEC 27002 stellt allgemein akzeptierte Maßnahmenziele (control objetives) und Maßnahmen (controls), sowie erprobte/anerkannte Anleitungen zur Umsetzung dieser Maßnahmen im Rahmen eines ISMS zur Verfügung. Er bietet Anleitungen für die Gestaltung und Umsetzung effektiver Sicherheitskontrollen, die in den Abschnitten A.5 bis A.18 der DIN ISO/IEC 27001 erläutert werden, einschließlich Risikobewertung, Zugriffskontrolle, Kryptographie, physische Sicherheit und Reaktion auf Vorfälle. Mehr Informationen zur ISO27001 finden Sie in unserem Blog-Artikel „ISO 27001: Die internationale Norm für Informationssicherheit„. Die ISO/IEC 27002 enthält auch Anleitungen, wie diese Kontrollen im Laufe der Zeit effektiv verwaltet werden können. Dieser Standard ist eine wichtige Ressource für Unternehmen, die ihre Informationssicherheit verbessern wollen. Indem sie die Richtlinien befolgen, können Unternehmen sicherstellen, dass ihre Sicherheitskontrollen für den Schutz ihrer kritischen Werte angemessen sind. Darüber hinaus kann ISO/IEC 27002 Organisationen helfen, die mit der Informationssicherheit verbundenen Kosten effektiv zu verwalten. Letztendlich ist ISO/IEC 27002 ein wertvolles Instrument für jede Organisation, die ihre Informationssicherheit verbessern möchte.
Warum wurde der „Code of Practice“ gestrichen?
Der Abschnitt „Code of Practice“ wurde gestrichen, weil er nicht mehr als notwendig erachtet wurde. Der Abschnitt enthielt allgemeine Hinweise zur Einrichtung und Aufrechterhaltung eines wirksamen ISMS, aber keine spezifischen Anweisungen zur Implementierung oder zum Betrieb der Kontrollen in ISO/IEC 27002.
Durch die Streichung des Abschnitts „Code of Practice“ konzentriert sich ISO/IEC 27002 nun ausschließlich auf die Sicherheitskontrollen selbst. Diese Änderung macht es für Organisationen einfacher, ISO/IEC 27002 als Referenz bei der Auswahl, Implementierung und Verwaltung von Kontrollen für ihr ISMS zu verwenden.
Welche Sicherheitsmaßnahmen wurden hinzugefügt oder entfernt?
Neben der Streichung des Abschnitts „Code of Practice“ wurden mehrere andere Änderungen an ISO/IEC 27002 vorgenommen, um den Fortschritten in der Technologie und den Branchenpraktiken Rechnung zu tragen.
Insgesamt wurden vier neue Sicherheitsmaßnahmen in den Standard ISO 27002:2022 aufgenommen, darunter Bedrohungsanalyse, Informationssicherheit bei der Nutzung von Cloud-Diensten und Schutz vor Datenverlust.
Gleichzeitig wurden vier alte Maßnahmen aus dem Standard entfernt, da sie nicht mehr den Best Practices entsprechen. Zu diesen Maßnahmen gehörten die physische Zugangskontrolle, die Planung der Reaktion auf Zwischenfälle, Brandschutzverfahren und Virenschutzverfahren.
Unternehmen, die bereits ein ISMS auf der Grundlage von ISO/IEC 27002 eingeführt haben, müssen ihr Programm aktualisieren, um diese Änderungen zu berücksichtigen. Für Organisationen, die gerade erst mit einem ISMS beginnen, bietet dieser Blogbeitrag einen detaillierten Überblick darüber, was Sie tun müssen, um die neueste Version von ISO/IEC 27002 zu erfüllen. Wenn Sie diese Richtlinien befolgen, können Sie sicher sein, dass Ihr ISMS auf dem neuesten Stand der bewährten Praktiken ist und dass Ihr Unternehmen angemessen gegen die heutigen Bedrohungen geschützt ist.
Die wichtigsten Änderungen in ISO/IEC 27002:2022
ISO/IEC 27002:2022 ist eine Überarbeitung von BS EN ISO/IEC 27002:2017, und die wichtigsten Änderungen sind:
- Elf neue Maßnahmen wurden aufgenommen, um den Fortschritten in der Technologie und der Branche Rechnung zu tragen, wie z.B. Threat Intelligence, Informationssicherheit bei der Nutzung von Cloud-Diensten und Data Loss Prevention.
- Die Anzahl der aufgelisteten Sicherheitsmaßnahmen ist von 114 auf 93 gesunken, wobei einige entfernt wurden, weil sie nicht mehr die besten Praktiken widerspiegeln.
- In der Revision 2022 von ISO/IEC 27002 wird der Begriff „Code of Practice“ gestrichen, um den Zweck der Norm als Referenz für Informationssicherheitsmaßnahmen besser widerzuspiegeln.
- Die Ausgabe 2022 enthält Verweise auf die Ausgabe 2013, um Organisationen den Übergang zu erleichtern. Diese Änderungen wurden vorgenommen, um den Standard mit den aktuellen Best Practices im Bereich der Informationssicherheit auf dem neuesten Stand zu halten. Organisationen, die ISO/IEC 27002:2022 verwenden, können daher sicher sein, dass sie Maßnahmen zum Schutz ihrer Daten und Systeme umsetzen.
Unsere Experten unterstützen Sie gerne bei der Vorbereitung auf Ihre ISO27001 Zertifizierung und dem Aufbau eines ISMS. Mehr zu unserer Lösung erfahren Sie hier “ISMS Beratung”. Gerne können Sie uns auch unverbindlich anfragen, wir beraten Sie gerne. Unsere ISMS Experten haben langjährige Erfahrungen in der Bereichen BSI- IT-Grundschutz, ISO27001, KRITIS und TISAX.
Zusammenfassung
ISO/IEC 27002:2022 ist ein wichtiger Standard für Organisationen, die ein effektives Informationssicherheitsmanagementsystem einrichten und aufrechterhalten wollen. Diese Überarbeitung der Norm spiegelt die Fortschritte in der Technologie und den Branchenpraktiken wider, wobei elf neue Maßnahmen hinzugefügt und vier alte Maßnahmen entfernt wurden. Indem sie diese überarbeitete Version von ISO/IEC 27002 befolgen, können Organisationen sicher sein, dass ihr ISMS auf bewährten Verfahren beruht und mit den aktuellen Sicherheitsmaßnahmen auf dem neuesten Stand ist. Dies wird dazu beitragen, dass ihre Daten und Systeme angemessen vor Bedrohungen geschützt sind.
Der ISO/IEC 27002:2022 Standard enthält außerdem hilfreiche Anleitungen für Organisationen, wie sie die Maßnahmen der Norm in ihrem eigenen ISMS umsetzen können, so dass das System mit der Norm konform ist. Außerdem enthält sie Verweise auf die Ausgabe 2013, was Organisationen die Umstellung ihres aktuellen ISMS erleichtert. Indem sie diese überarbeitete Version von ISO/IEC 27002 befolgen, können Organisationen sicher sein, dass sie ihre Daten und Systeme im Einklang mit bewährten Verfahren angemessen schützen.
Insgesamt ist die Revision der IEC 27002:2022 ist ein wichtiger Schritt nach vorne für Informationssicherheits-Managementsysteme, und Organisationen sollten sicherstellen, dass ihr ISMS die Anforderungen dieser überarbeiteten Norm erfüllt. Auf diese Weise können sie sicher sein, dass ihre Daten und Systeme angemessen vor den heutigen Bedrohungen geschützt sind. Indem Unternehmen ein ISMS aufbauen und weiterentwickeln, das dem neusten Stand des Standards entspricht, können Organisationen sicherstellen, dass ihr Informationssicherheitsmanagementsystem den besten Praktiken entspricht und mit den neuesten Sicherheitsmaßnahmen angemessen, gegen die sich entwickelnde Bedrohungslandschaft geschützt sind.