ISO-Standards tendieren zur Langlebigkeit. Wenn sie dann einmal überarbeitet werden, so hat das Auswirkungen. So wie bei ISO 27002:2022. Komplett ersetzt wird nicht nur ISO 27002:2013, sondern indirekt auch Annex A von ISO 27001. Denn dieser stammt von ISO 27002.
Das hat mittelfristig einen substanziellen Einfluss auf ISO 27001-Compliance und damit auch auf die organisationsspezifischen ISMS (Information Security Management System), die heute in Gebrauch sind. Wie gross der Anpassungsbedarf ist, hängt von der Ausgestaltung des jeweiligen ISMS ab.
Was hat sich geändert?
Betroffen sind sowohl die Organisation der Controls wie auch der Umfang. Und das sowohl quantitativ als auch qualitativ. Statt 114 Controls in 14 Kategorien gibt es nun 93 Controls in 4 Kategorien. Davon sind 11 neu.
Organisation
Es gibt neu nur noch vier Kategorien für die Controls:
(5) Organizational Controls
(6) People Controls
(7) Physical Controls
(8) Technical Controls
Das ist in der 2022-Ausgabe deutlich aufgeräumter als in der 2013-Ausgabe.
Neue Controls
Folgende Controls sind neu:
- Threat intelligence
- Information security for use of cloud services
- ICT readiness for business continuity
- Physical security monitoring
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Monitoring activities
- Web filtering
- Secure coding
Mapping Tables
Die Reduktion auf vier Kategorien hat zu vielen Änderungen und Verschiebungen geführt. Mapping Tables zwischen ISO 27002:2013 und ISO 27002:2022, in beiden Richtungen, erleichtern das Zurechtfinden.
Wer ist betroffen?
Jeder, der mit ISO 27001 zu tun hat. Sei es, weil das ISMS auf ISO 27001 basiert oder weil die Organisation ISO 27001-zertifiziert ist. Mittelfristig, das heisst innerhalb der nächsten 12 bis 36 Monate, kommt man nicht um eine Anpassung herum.