ISO 27002:2022 Änderungen, Aktualisierungen und Vergleich

ISO / IEC 27002 wurde überarbeitet, um die Informationssicherheitskontrollen zu aktualisieren, um Entwicklungen und aktuelle Informationssicherheitspraktiken in verschiedenen Unternehmensbereichen und Regierungen widerzuspiegeln.

In diesem Beitrag erklären wir Ihnen die wesentlichen Änderungen des Standards und wie Sie diese erfolgreich angehen können.

Es gibt eine große Anzahl von Standards und anderen ähnlichen Sicherheitsrahmenwerken, die sich auf ISO 27002:2013 beziehen oder darauf basieren. Die Änderung dieser Norm auf eine neue Version wird sich auf sie auswirken.

ISO 27002 2013 ursprünglicher Geltungsbereich

Der Hauptzweck von ISO 27002:2013 bestand darin, ein umfassendes Informationssicherheits- und Asset-Management-Programm für jede Organisation bereitzustellen, die entweder ein neues Informationssicherheits-Managementprogramm benötigt oder ihre bestehenden Informationssicherheitsrichtlinien und -praktiken verbessern möchte. Der Verhaltenskodex gab die Empfehlungen für Verwaltung der Informationssicherheit an diejenigen, die für die Einführung, Implementierung und Aufrechterhaltung der Informationssicherheit in einer Organisation verantwortlich sind.

Was hat sich in ISO 27002 2022 geändert?

In ISO 27002:2022 wurde der Name der Norm geändert. Anstatt "Informationstechnologie – Sicherheitstechniken – Verhaltenskodex für Informationssicherheitskontrollen“ lautet der Name in der Überarbeitung 2022 nun „Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Informationssicherheitskontrollen“.

Änderungen in der Compliance-Landschaft, z. B. Vorschriften wie DSGVO (Allgemeine Datenschutzverordnung), POPIA (Protection of Personal Information Act), APPs (Australian Privacy Principles), die sich entwickelnden Geschäftskontinuitäts-, Cyber-Risiken und Compliance-Herausforderungen, mit denen Unternehmen auf der ganzen Welt konfrontiert sind, sowie die Einführung von ISO 27701 führten dazu, dass ISO 27002 den Anwendungsbereich erweitern musste seiner Kontrollen von seinem ursprünglichen Fokus auf Informationssicherheit, um Cybersicherheit und Datenschutz sowie Schwachstellenmanagement zu berücksichtigen.

Die ISO-Organisation hofft, die Absicht durch die Bereitstellung eines Referenzsatzes zu verbessern Informationssicherheit Kontrollziele zur Verwendung im kontextspezifischen Informationssicherheits-, Datenschutz- und Cybersicherheitsrisikomanagement.

Wann ist es live gegangen?

Die neue Revision ISO 27002 2022 wurde am 15. Februar 2022 veröffentlicht.

Interpretieren der Änderungen

Unser erster Eindruck von der überarbeiteten Norm ist, dass sie eine einfachere Struktur bietet, die im gesamten Unternehmen angewendet werden kann und nun auch zur Verwaltung eines breiteren Risikoprofils verwendet werden kann. Hierzu können Informationen gehören Sicherheit und die eher technischen Aspekte der physischen Sicherheit, Vermögensverwaltung, Cybersicherheit und die mit dem Datenschutz einhergehenden Elemente der Personalsicherheit.

Die erste wesentliche Änderung des Standards besteht darin, von einem „Verhaltenskodex“ wegzugehen und ihn als eine Reihe von Kontrollen zu positionieren, die beides können Stand-alone oder als Teil eines ISO 27001-Informationssicherheitsmanagementsystems vorhanden sein.

Was hat sich verändert?

Die Anzahl der Kontrollen in der neuen Version ISO 27002 2022 ist von 114 Kontrollen in 14 Abschnitten in der Ausgabe 2013 auf 93 Kontrollen in der Ausgabe 2022 gesunken. Diese Kontrollen sind nun in vier Kontrollthemen kategorisiert: „Organisationskontrollen“, „Personenkontrollen“, „Physische Kontrollen“ und „Technologische Kontrollen“.

Was ist eine Kontrolle?

Eine „Kontrolle“ ist definiert als eine Maßnahme, die das Risiko verändert oder aufrechterhält. Ein InformationssicherheitspolitikBeispielsweise kann das Risiko nur aufrechterhalten werden, während die Einhaltung der Informationssicherheitsrichtlinie das Risiko modifizieren kann. Darüber hinaus beschreiben einige Kontrollen dieselbe generische Maßnahme in unterschiedlichen Risikokontexten.

Kontrollanleitung

Der Abschnitt „Leitlinien“ für jede Kontrolle wurde überprüft und (wo erforderlich) aktualisiert, um aktuelle Entwicklungen und Praktiken widerzuspiegeln. Darüber hinaus ist jedes Steuerelement jetzt mit einer „Zweck“-Anweisung und einer Reihe von „Attributen“ ausgestattet, um auch einen Bezug zu Cybersicherheitskonzepten und anderen bewährten Sicherheitspraktiken herzustellen.

Welche Steuerungen haben sich geändert?

Von den 93 Kontrollen (und im Vergleich zur Ausgabe 2013) sind 11 Kontrollen neu, 24 wurden zusammengeführt und 58 wurden aktualisiert (hauptsächlich für den Abschnitt „Leitlinien“).

Die Kontrollsätze sind jetzt in vier (4) Kategorien oder Themen statt in vierzehn (14) Kontrolldomänen organisiert. Die vier Kategorien umfassen:

• Organisatorisch
• Personen
• Physik
• Filter, Parameter, Zeitachsen, Sparklines, Zellprozentsatz und Fortschritte

Die Gesamtzahl der Kontrollen wurde reduziert – in der neuen Version von ISO 21:27002 gibt es 2022 Kontrollen weniger.

Es wurden konzertierte Anstrengungen unternommen, um Steuerredundanz zu vermeiden. Die Version 2022 enthält 24 Steuerelemente, die aus der Version 2013 zusammengeführt wurden.

Der Standard hat jetzt 11 neue Kontrollen, um die aktuelle Informationssicherheit widerzuspiegeln, physische Sicherheit und Cybersicherheitslandschaft.

Das Kontrollziel für eine Gruppe von Kontrollen wurde in der Version 2022 durch ein „Zweck“-Element ersetzt.

Um den Risikominderungs-, Bewertungs- und Behandlungsprozess zu verbessern, wurde das Konzept der „Attribute zu Kontrollen“ eingeführt. Darüber hinaus können Sie unterschiedliche Ansichten von Steuerelementen erstellen – also Kategorisierungen von Steuerelementen aus einer anderen Perspektive als die Steuerelementthemen.

Neue Steuerung

Der Geltungsbereich von ISO/IEC 27002:2022 listet nun 11 neue Kontrollen auf. Diese sind:

1. Bedrohungsinformationen – Angreifer und ihre Methoden im Kontext Ihrer IT-Landschaft verstehen.
2. Informationssicherheit für die Nutzung von Cloud-Diensten – Die Einführungs-, Betriebs- und Ausstiegsstrategie für Cloud-Initiativen muss nun umfassend betrachtet werden.
3. IKT-Bereitschaft für Geschäftskontinuität – Die Anforderungen an die IT-Landschaft sollten aus den gesamten Geschäftsprozessen und der Fähigkeit zur Wiederherstellung der Betriebsfähigkeit abgeleitet werden.
4. Überwachung der physischen Sicherheit – Der Einsatz von Alarm- und Überwachungssystemen zur Verhinderung unbefugten physischen Zugriffs hat immer mehr an Bedeutung gewonnen.
5. Konfiguration Management – ​​Härtung und sichere Konfiguration von IT-Systemen.
6. Informationslöschung – Die Einhaltung externer Anforderungen, wie z. B. datenschutzrechtliche Löschkonzepte, muss umgesetzt werden.
7. Datenmaskierung – Verwendung von Techniken zur Datenmaskierung, wie etwa Anonymisierung und Pseudonymisierung, um Ihren Datenschutz zu verbessern.
8. Verhinderung von Datenlecks – Ergreifen von Maßnahmen, um den Verlust sensibler Daten zu verhindern.
9. Überwachungsaktivitäten – Ihre Organisation sollte die Netzwerksicherheit überwachen und Anwendungsverhalten, um etwaige Netzwerkanomalien zu erkennen.
10. Web-Filter – verhindert, dass Benutzer bestimmte URLs anzeigen, die bösartigen Code enthalten.
11. Sichere Codierung – Die Verwendung von Tools, das Kommentieren, das Nachverfolgen von Änderungen und die Vermeidung unsicherer Programmiermethoden sind Möglichkeiten, eine sichere Codierung zu gewährleisten.

Das gibt uns:

• 93 Steuerungen in der neuen Version von 27002.
• 11 Bedienelemente sind neu.
• Insgesamt wurden 24 Kontrollen aus zwei, drei oder mehr Kontrollen der Version 2013 zusammengeführt; Und
• 58 Kontrollen aus der Version 2013 wurden überprüft und überarbeitet, um sie an die aktuelle Informationsumgebung anzupassen Sicherheit und Cybersicherheit.
• Anhang A, welche enthält Anleitungen für die Anwendung von Attributen und
• Anhang B, Dies entspricht ISO/IEC 27001 2013. Es handelt sich im Grunde genommen um eine Tabelle mit zwei Tabellen, die Kontrollnummern/Identifikatoren miteinander vergleicht, um die Referenz zu erleichtern und detailliert zu beschreiben, was neu ist und was zusammengeführt wurde.

Was SIND Attribute?

Die neue Version des ISO-Standards 27002 führt für jedes Steuerelement einen Attributabschnitt ein. Attribute sind ein Mittel zur Kategorisierung von Steuerelementen. Dadurch können Sie Ihre Steuerungsauswahl schnell an die gängigen Branchensprachen und -standards anpassen. Diese Attribute identifizieren Schlüsselpunkte:

• Steuerungsart
• InfoSec-Eigenschaften
• Internet-Sicherheit Konzepte
• Operative Fähigkeiten
• Sicherheitsdomänen

Die Verwendung von Attributen unterstützt Arbeiten, die viele Unternehmen bereits im Rahmen ihrer Risikobewertung durchführen Erklärung zur Anwendbarkeit (SOA).

So befasst sich beispielsweise die Cybersicherheitskonzepte von NIST und CIS Controls lassen sich deutlich unterscheiden und die Einsatzmöglichkeiten gegenüber anderen Standards sind erkennbar.

Wie wirkt sich das auf Sie aus?

Die Überarbeitung der ISO 27002 2022 wird sich wie folgt auf eine Organisation auswirken:

• Wenn Sie bereits ISO 27001 2013 zertifiziert sind
• Befinden Sie sich in der Mitte der Zertifizierung?
• Wenn Sie im Begriff sind, sich erneut zu zertifizieren

Die ISO 27001-Zertifizierung dauert drei Jahre. Wenn Ihre Organisation bereits zertifiziert ist, müssen Sie jetzt nichts unternehmen, die überarbeitete Norm ISO 27002 2022 wird bei Erneuerung/Neuzertifizierung anwendbar sein. Es liegt daher nahe, dass sich alle zertifizierten Organisationen irgendwann auf den überarbeiteten Standard vorbereiten müssen.

Wie wirkt es sich auf Ihre (Re-)Zertifizierung aus?

Angenommen, eine Organisation befindet sich derzeit im Prozess der Zertifizierung oder Neuzertifizierung nach ISO 27001 2013. In diesem Fall wird von ihnen erwartet, dass sie ihre Risikobewertung noch einmal überprüfen, die neuen Kontrollen als anwendbar identifizieren und ihre Maßnahmen überarbeiten. Erklärung zur Anwendbarkeit durch Vergleich der überarbeiteten Anhang-A-Kontrollen. Da es einige neue Kontrollen und geänderte oder zusätzliche Leitlinien für andere Kontrollen gibt, müssen Organisationen die überarbeitete ISO 27002 auf etwaige Implementierungsänderungen überprüfen.

Auch wenn die ISO 27001-Revision 2022 noch nicht veröffentlicht wurde, ordnet Anhang B von ISO 27002 die Kontrollen zwischen den Versionen 2013 und 2022 der Norm zu.

Ihre Anwendbarkeitserklärung (SOA) sollte sich weiterhin auf Anhang A von ISO 27001 beziehen, während die Kontrollen auf die überarbeitete Norm ISO 27002:2022 verweisen müssen, bei der es sich um einen alternativen Kontrollsatz handelt.

Müssen Sie Ihre Dokumentation ändern?

Die Einhaltung dieser Änderungen sollte Folgendes umfassen:

• Ein Update zu Ihrem Risikobehandlungsprozess mit aktualisierten Steuerelementen
• Eine Aktualisierung Ihrer Anwendbarkeitserklärung
• Aktualisieren Sie Ihre aktuellen Richtlinien und Verfahren mit Anleitungen zu jeder Kontrolle, sofern erforderlich.

Welche Auswirkungen hat es auf ISO 27001 2013?

Bis zur Veröffentlichung eines neuen ISO 27001 2022-Standards werden die aktuellen ISO-Zertifizierungsschemata fortgeführt, obwohl eine Zuordnung zu den neuen ISO 27002 2022-Kontrollen über Anhang B und B1.2 erforderlich sein wird.

Bevorstehende Änderungen an ISO 27001

Die meisten Menschen, die sich mit der Informationssicherheit befassen, gehen davon aus, dass es sich bei den ISO 27001-Änderungen um geringfügige Textänderungen mit einer geringfügigen Aktualisierung von Anhang A zur Anpassung an die Überarbeitung von ISO 27002 2022 handelt.

Wann wird ISO 27001 aktualisiert?

ISO 27001 wird allgemein in diesem Jahr (Oktober 2022) erwartet. Dieses Datum ist spekulativ und muss bestätigt werden.

Sind weitere 27000-Standards betroffen?

Managementsystemstandards und -rahmen, die sich auf die Version ISO/IEC 27002:2013 beziehen und/oder darauf basieren, werden die Änderung spüren. Häufig verwendete Standards und Frameworks wie z ISO 27701 (Datenschutz), ISO 27017 (Cloud-Dienste) und ISO 27018 (Cloud-Datenschutz) werden voraussichtlich folgen, und es sind weitere Auswirkungen auf lokale Standards und Frameworks zu erwarten.

Sind Sie bereit für die Veränderungen?

Sie können mit der Vorbereitung Ihrer Organisation beginnen Management System gegen die DIS 27001-Version (DIS steht für „Draft International Standard“) oder warten Sie, bis die überarbeitete Norm endgültig ist.

Einige Schritte, die Ihre Organisation unternehmen kann, um sich auf die überarbeitete Norm vorzubereiten, sind:

• Führen Sie eine Lückenanalyse Ihrer aktuellen Kontrollen im Vergleich zu den neuen Kontrollen durch.
• Führen Sie eine Risikoanalyse gemäß den aktualisierten Kontrollen 27002 2022 durch.
• Kartenkontrollen über Anhang B zwischen ISO 27002:2013 und ISO 27002:2022.
• Verstehen Sie, welche Kontrollen anwendbar sind, und aktualisieren Sie Ihre Informationssicherheit Managementsystem entsprechend anpassen.
• Führen Sie Aktualisierungen Ihrer Anwendbarkeitserklärung durch.
• Führen Sie eine Überprüfung und Aktualisierung Ihrer Daten durch interne Anhörung Programm zur Identifizierung der erforderlichen aktualisierten Steuerelemente.
• Stellen Sie sicher, dass Ihre Sicherheitsmetriken werden gemäß Ihrer neuen Risikobewertung aktualisiert und Kontrollen.
• Aktualisieren und überprüfen Sie Standards, Verfahren und Richtlinien entsprechend den Änderungen in Ihrer Umgebung.
• Ergreifen Sie Maßnahmen, um die Ihrer Organisation auf den neuesten Stand zu bringen Risk Assessment, da Sie Ihre vorhandenen Steuerelemente aktualisieren werden.
• Bewerten Sie alle Tools von Drittanbietern, die Sie derzeit zum Nachweis der Konformität verwenden, um sicherzustellen, dass sie die neuen Revisionen unterstützen können.

Dies wird Ihnen dabei helfen, im Hinblick auf eine erneute Zertifizierung oder die Einführung weiterer Zertifizierungen einen Schritt voraus zu sein ISO 27000-Familie Standards/Frameworks, z. B. ISO 27018, 27017, 27032, von denen allgemein erwartet wird, dass sie kurz nach der Überarbeitung von ISO 27001 2022 aktualisiert werden.

Kann ISMS.online Ihnen bei der Umstellung auf die neue Revision ISO 27002:2022 helfen?

Ja wir können. Wenn Sie bereits Kunde sind, werden wir Sie in Kürze mit einer Reihe von Migrationsoptionen kontaktieren. Wenn Sie kein Kunde sind, haben wir eine Reihe von Möglichkeiten, Ihnen zu helfen Migrieren Sie Ihr Informationssicherheits-Managementsystem zum ISMS online.