Security & Compliance

Neue Version von ISO 27002: Mit substanziellen Auswirkungen auf ISO 27001

Handgeschriebene Skizze mit dem Wort Compliance
Bild: Warchi | Getty Images

Eine Überarbeitung der ISO-Standards macht auch Anpassungen im Informations-Sicherheits-Managementsystem (ISMS) notwendig.

ISO-Standards tendieren zur Langlebigkeit. Wenn sie dann einmal überarbeitet werden, so hat das Auswirkungen. So wie bei ISO 27002:2022. Komplett ersetzt wird nicht nur ISO 27002:2013, sondern indirekt auch Annex A von ISO 27001. Denn dieser stammt von ISO 27002.

Das hat mittelfristig einen substanziellen Einfluss auf ISO 27001-Compliance und damit auch auf die organisationsspezifischen ISMS (Information Security Management System), die heute in Gebrauch sind. Wie gross der Anpassungsbedarf ist, hängt von der Ausgestaltung des jeweiligen ISMS ab.

Was hat sich geändert?

Betroffen sind sowohl die Organisation der Controls wie auch der Umfang. Und das sowohl quantitativ als auch qualitativ. Statt 114 Controls in 14 Kategorien gibt es nun 93 Controls in 4 Kategorien. Davon sind 11 neu.

Organisation

Es gibt neu nur noch vier Kategorien für die Controls:

(5) Organizational Controls

(6) People Controls

(7) Physical Controls

(8) Technical Controls

Das ist in der 2022-Ausgabe deutlich aufgeräumter als in der 2013-Ausgabe.

Neue Controls

Folgende Controls sind neu:

  • Threat intelligence
  • Information security for use of cloud services
  • ICT readiness for business continuity
  • Physical security monitoring
  • Configuration management
  • Information deletion
  • Data masking
  • Data leakage prevention
  • Monitoring activities
  • Web filtering
  • Secure coding

Mapping Tables

Die Reduktion auf vier Kategorien hat zu vielen Änderungen und Verschiebungen geführt. Mapping Tables zwischen ISO 27002:2013 und ISO 27002:2022, in beiden Richtungen, erleichtern das Zurechtfinden.

Wer ist betroffen?

Jeder, der mit ISO 27001 zu tun hat. Sei es, weil das ISMS auf ISO 27001 basiert oder weil die Organisation ISO 27001-zertifiziert ist. Mittelfristig, das heisst innerhalb der nächsten 12 bis 36 Monate, kommt man nicht um eine Anpassung herum.

Der Autor: Christoph Jaggi

Christoph Jaggi ist Experte für Digitalisierung, Technologien und Marketing. Die Verbindung dieser Kerndisziplinen mit der Orientierung auf Menschen, Märkte und Zielgruppen bildet die Basis für das Lösen komplexer Aufgabenstellungen in unterschiedlichen Bereichen. Und sie ist die Grundlage für das Erkennen und die Entwicklung von Marktstrategien. Christoph Jaggis internationaler Kundenstamm reicht vom Startup über KMU bis zum Grosskonzern.

Für einige Leute ist Christoph Jaggi IT-Experte, für andere IT-Sicherheitsexperte, für andere Marketingexperte, für andere Strategieexperte, für andere Managementexperte und für andere Medienexperte. Er selbst sieht sich allerdings vor allem als Problemlöser, der seine Kunden darin unterstützt, für aktuelle Herausforderungen die optimale Lösung zu finden. Und da sind fachliche Silos eher ein Hindernis.

Als Autor mit weitreichender Erfahrung in den Branchen ITC, Finanzen, Medien und weitere, publiziert Christoph regelmässig zu Entwicklungen in den Bereichen Digitalisierung und Technologie mit Fokus auf Anwender, Produkte und Märkte.