infoguard-blog-isoiec2700:22021

ISO/IEC 27002:2021 – was Sie über die Neuerungen wissen müssen

Nach über acht Jahren ist die überarbeitete ISO/IEC 27002:2021-Norm endlich angekündigt. Natürlich haben Unternehmen eine Übergangsfrist, um ihr ISMS auf den aktuellen Stand zu bringen. Trotzdem sollten Sie sich jetzt schon mit der überarbeiteten Norm beschäftigen, denn es hat sich nicht nur der Titel geändert. Was noch und weshalb es sich lohnt, das Thema schon heute anzupacken, erfahren Sie in diesem Beitrag.


ISO/IEC 27002:2021 – das Warten hat sich gelohnt

Die ISO/IEC 27002 ist nach der ISO/IEC 27001 die zweitwichtigste Norm, wenn es darum geht, ein ISMS in einem Unternehmen einzuführen. Auch wenn sie derzeit noch als «Draft International Standard (DIS)» – ergo Entwurf – vorliegt, wird sich die finale Fassung voraussichtlich nur noch marginal ändern.

Neu heisst die ISO/IEC-Norm «Information security, cybersecurity and privacy protection – Information security controls». Damit ist klar, dass die Informationssicherheit in einem viel breiteren Kontext betrachtet wird. Die Inhalte berücksichtigen zusätzliche Cyberelemente (Cybersecurity). Gleichzeitig bekommt auch der Datenschutz einen grösseren Stellenwert (Privacy Protection). Die ISO/IEC 27002 beinhaltet Umsetzungsempfehlungen (= informativ, nicht normativ) für Controls. Das bedeutet, dass die Norm in einem Zertifikatsaudit nicht Bestandteil der Auditierung ist. Dennoch hat sie einen gewichtigen Einfluss.

Bedeutung der ISO/IEC 27002

Die Controls der 27002 zeigen den Umfang und Aufbau des Control-Sets (derzeit Anhang A genannt) der zukünftigen 27001-Norm. Die Umsetzungsempfehlungen sind eine ideale Orientierungshilfe für alle, die ein ISMS nach 27001 implementieren wollen. Gleichzeitig dienen sie den Auditoren als «Orientierung» in einem Zertifikatsaudit, um die Angemessenheit implementierter Controls im Unternehmen zu bewerten. Es ist anzunehmen, dass die Gliederung der 27002-Controls das Control-Set der zukünftigen ISO/IEC 27001-Norm widerspiegeln. Dies hat dann natürlich auch inhaltliche und strukturelle Auswirkungen auf darauf aufbauende Normen wie zum Beispiel die ISO/IEC 27019 für Energieversorger, ISO 27799 für den Bereich Krankenhäuser, ISO 27017 Cloud Services, ISO 27018 protection of personally identifiable information (PII) und ISO 27701 privacy information management etc.

Struktur der Norm ISO/IEC 27002:2021

Am Auffälligsten ist sicherlich, dass die Norm eine neue Struktur bekommen hat. Während in der bisherigen Version 14 Kapitel enthalten waren, sind es nun nur noch deren vier – namentlich:

    • Organizational controls (37)

    • People controls (8)

    • Physical controls (14)

    • Technological controls (34)

In Klammern sind die Anzahl der beinhalteten Massnahmen aufgeführt. Gegenüber der 2013er-Version sind es «nur» noch 93 Controls. Auch wenn sich die Anzahl reduziert hat (114 waren es in der 2013er-Version), ist das kein Hinweis darauf, dass die Themenvielfalt abgenommen hat – im Gegenteil: Es sind 11 neue Massnahmen hinzu gekommen; nur drei Massnahmen wurden gestrichen (11.2.5 Removal of assets, 8.2.3 Handling of Assets, 16.1.3 Reporting information security weaknesses). Diverse Controls würden konsolidiert zu 19; 61 Controls sind unverändert. Zudem wurden zahlreiche Controls zusammengefasst, zum Beispiel im Zugriffsrechte-Management.
Auf der anderen Seite wurden neue Schwerpunkte gelegt, welche vor allem die Vermeidung, Entdeckung und Reaktion von Cyberangriffen sowie den Schutz von Daten stärker in den Fokus rücken – wie dies bereits aus dem NIST Cybersecurity Framework bekannt ist. Somit erhöht sich wohl generell der Aufwand zur Umsetzung für ein Unternehmen. Gleichzeitig wird es auch schwieriger, entsprechende Massnahmen auszuklammern, wenn diese im eigenen Unternehmen nicht anwendbar sind.

Alle Control besitzt neuerdings fünf Attribute:

    • Control type

    • Information security properties

    • Cybersecurity concepts

    • Operational capabilities

    • Security domains

Diese dienen der Bildung von Views auf das gesamte Control-Set. Jedes Attribut kann wiederum mit mehreren sogenannte Hashtags (#) versehen werden, die es ermöglichen, Controls semantisch zusammenzufassen. Damit wird berücksichtigt, dass es durch die Reduktion der Hauptabschnitte auf nur noch vier Bereiche schwieriger wird, Einzelthemen wie beispielsweise Incident-Management zu finden. Aber mit Tags wie #asset_management (vormals A.8) oder #supplier_relationships_security (vormals A.15) lassen sich thematisch zusammenhängende Sub-Sets bilden. Dies erleichtert den Umstieg auf die neue Fassung erheblich. Gleichzeitig trägt die neue Struktur der Erkenntnis Rechnung, dass Controls oftmals in verschiedenen Bereichen bedeutsam sind und bisher «künstlich» in einen Rahmen aus Haupt- und Unterabschnitten gepresst wurden.

11 neue Controls des ISO/IEC 27002:2021

Der DIS des ISO/IEC 27002:2021 listet derzeit 11 neue Controls auf. Dies sind auch gleichzeitig Indikatoren für die neuen thematischen Schwerpunkte. Das bedeutet für Sie:

  1. Threat intelligence: Sie müssen sich aktiv darum kümmern, Angreifer und ihre Methoden vor dem Hintergrund Ihrer IT-Landschaft zu verstehen.

  2. Information security for use of cloud services: Cloud-Initiativen müssen ganzheitlich von der Einführung über den Betrieb bis hin zur Exit-Strategie betrachtet werden.

  3. ICT Readiness for Business Continuity: Die Anforderungen der IT-Landschaft müssen aus der Business-Prozess-Perspektive abgeleitet werden.

  4. Physical security monitoring: Die Vermeidung unautorisierter physischer Zutritte rückt stärker in den Fokus und soll mittels Alarmierungs- und Überwachungssystemen verhindert werden.

  5. Configuration management: Die sichere Konfiguration von IT-Systemen und die Härtung gewinnen an Bedeutung.

  6. Information deletion: Das sichere Löschen und insbesondere die Wahrung externer Anforderungen, beispielsweise Löschkonzepte vom Datenschutz, müssen umgesetzt werden.

  7. Data masking: Mittels verschiedener Maskierungstechniken wie Anonymisierung und Pseudonymisierung soll der Schutz von Daten erhöht werden.

  8. Data leakage prevention: Data Leakage Prevention (DLP) erhält neu Beachtung und soll helfen, den unautorisierten Datenabfluss zu vermeiden.

  9. Monitoring activities: Netzwerk- und Anwendungsverhalten sollen überwacht werden, um Anomalien zu detektieren.

  10. Web filtering: Der Zugriff auf externe Websites, die Schad-Codes enthalten können, ist mittels Webfilter-Methoden zu verhindern.

  11. Secure coding: Das sichere Programmieren, die Nutzung von Tools, die Überwachung genutzter Bibliotheken und Repositorien, das Kommentieren und Nachvollziehen von Änderungen und das Vermeiden unsicherer Programmiermethoden sind die abschliessenden Punkt der neuen Controls im ISO/IEC 27002:2021.

ISO/IEC 27002:2021 ist mehr als nur ein Facelifting

Die ISO/IEC 27002:2021 hat sprichwörtlich einen komplett neuen Anstrich bekommen. Die bisherigen Massnahmen wurden in vier Kategorien gruppiert und, wo sinnvoll, zusammengefasst. Insgesamt sind 11 von total 93 Massnahmen neu dazugekommen. Insbesondere rücken dabei die Vermeidung, Entdeckung und Reaktion von Cyberangriffen sowie der Schutz von Daten stärker in den Fokus. Dadurch ist die Ausgabe 2021 umfassender. Sie trägt neuen Trends und Veränderungen der Gefahrensituation Rechnung. Jedoch ist es nicht damit getan, die neuen Massnahmen nur umzusetzen, denn auch in den bekannten Massnahmen sind neue beziehungsweise erweiterte Anforderungen hinzugekommen.

Noch ist die Norm nicht final. Doch schon jetzt sollten sich alle, die ein ISMS nach ISO/IEC 27001 betreiben, mit dieser Norm auseinandersetzen und bereits jetzt Schritte einleiten. Ab Gültigkeit der Überarbeitung besteht voraussichtlich eine Übergangszeit von einem Jahr, in der die alte Struktur noch für eine Zertifizierung herangezogen werden kann. Bestehende Zertifizierungen müssen voraussichtlich erst nach drei Jahren auf die neue Struktur umstellen. Auf jeden Fall sollten sich aber alle Unternehmen an den neuen Kontrollzielen orientieren und diese implementieren.

Haben Sie Fragen dazu? Unsere Experten unterstützen Sie gerne!
Kontaktieren Sie uns!

<< >>

IT-Sicherheit , Cyber Security

Reinhold Zurfluh
Über den Autor / Reinhold Zurfluh

InfoGuard AG - Reinhold Zurfluh, Head of Marketing, Mitglied des Kaders

Weitere Artikel von Reinhold Zurfluh


Ähnliche Artikel
ISO/IEC 27701 – Datenschutzaspekte integriert im ISMS
ISO/IEC 27701 – Datenschutzaspekte integriert im ISMS

Bei der Einführung der europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018, herrschte auch [...]
Der sichere Weg in die Cloud [Teil 2]
Der sichere Weg in die Cloud [Teil 2]

Im ersten Teil unserer zweiteiligen Blogreihe beleuchteten wir generelle Aspekte zu Cloud-Anbietern, [...]
Dunkle Wolken am Security-Himmel – Kompromittierung von Azure-Accounts
Dunkle Wolken am Security-Himmel – Kompromittierung von Azure-Accounts

Das CSIRT der InfoGuard hat in den letzten Monaten verschiedene Cybervorfälle im Azure Umfeld bearbeitet, [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
infoguard-cyber-security-ratgeber-2