Seit März dieses Jahres liegt uns die neue Version der ISO 27002:2022 vor. Auf den ersten Blick hat sich eine Menge geändert und auch nach fast drei Monaten Arbeiten mit dem überarbeiteten Standard ist sicher, dass hier grundsätzlich aufgeräumt wurde.
ISO 27001 und 27002
Der Standard ISO 27002 ist eine Ergänzung zum ISO 27001, dem Standard für Informationssicherheitsmanagementsysteme, der die Basis für die Zertifizierung von Unternehmen ist. Ähnlich wie die BSI-Umsetzungshinweise zu verschiedenen Bausteinen werden in ISO 27002 ausführlichere Handlungsanweisungen gegeben, indem die Anforderungen aus der ISO 27001, die meist sehr viel Interpretationsspielraum bieten, konkretisiert und mit Inhalt befüllt werden.
Beide Standards hatten in ihrer aktuellsten Version bereits einige Jahre auf dem Buckel. Die Gültigkeit der 2013er-Versionen wurde nach fünf Jahren geprüft und weiterhin bestätigt. Nun wurde in 2022 allerdings eine stark überarbeitete Version der ISO 27002 vorgelegt, sodass eine ähnlich überarbeitete Version der ISO 27001 zum Jahresende zu erwarten ist.
Neuer Name und neue Struktur
Schon der neue Name − Information security, cybersecurity and privacy protection — Information security controls − lässt im Vergleich zum Vorgänger − Information technology — Security techniques — Code of practice for information security controls − zwei Dinge erahnen: Hier werden Themenfelder berücksichtigt, die sich in den letzten neun Jahren als wichtig herauskristallisiert haben, sowie eine Vereinfachung der Struktur.
Die Struktur wurde vollkommen umgestellt. Ehemals 14 Themenbereiche, die bisher als Überkapitel behandelt wurden, sind nun auf vier Bereiche reduziert worden. Dadurch wird klar, wie stark die Themenbereiche verknüpft sind. Das bedeutet aber auch: Wenn man sich anhand der aktuellen Version einem Bereich widmet, ist man einem Wust an Anforderungen und Empfehlungen ausgeliefert, der einen schier zu erschlagen droht.
Neu sind auch die benutzerfreundliche Einordnung der einzelnen Controls in Kontrolltypen wie präventiv, erkennend und korrigierend, die direkte Zuweisung der Anforderungen zu den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit sowie weitere Kategorisierungen (siehe Abbildung 1)
Abbildung 1: Beispiel aus der ISO 27002:2022
Thematische Neuerungen
Einige der alten Controls wurden zusammengezogen, insgesamt sind es weniger Controls, obwohl 11 Controls neu hinzugekommen sind. Themen wie Konfigurationsmanagement, Schutz vor Datenverlust und Sichere Softwareentwicklung werden durch die Behandlung in eigenen Controls prominenter, da sie vorher nur in anderen Controls mitgemeint waren. Hier ist ein positiver Einfluss der Praxis auf die Strukturierung der Normen zu erkennen.
Auch die Thematik Sicherer Umgang mit Cloud Services hat als eigenes Control direkten Einzug in die ISO 27002:2022 genommen, und fühlt sich damit nicht mehr ausgeklammert an, da nur in der ISO 27017 – Anwendungsleitfaden für Informationssicherheitsmaßnahmen basierend auf ISO/IEC 27002 für Cloud Dienste – thematisiert.
Fazit
Erfahrene Praktiker, die sich im Control-Gewirr zurechtfanden und die Ziffern ebenso schnell und sicher zuordnen konnten wie die Kassiererin an der Kasse jeden Code des noch so exotischen Gemüses kennt, müssen mit dem neuen Standard umlernen.
In der Auditdurchführung wird sich zeigen, wie praktikabel die Struktur der großen Themenbereiche tatsächlich ist. Probleme könnten die Personalressourcen darstellen: Da die Themen stärker verknüpft sind, müssen Ansprechpartner für bestimmte Bereiche nun eventuell am gesamten Audit teilnehmen.
Wer die neue Version der ISO 27001, die voraussichtlich zum Jahresende veröffentlicht wird, kaum noch erwarten kann, sollte schon jetzt einen geübten Blick in die ISO 27002:2022 werfen und sich auf die neuen Controls vorbereiten.
