ISO/IEC 27002:2022 – Anti-Aging für das ISMS
Nach mehr als acht Jahren steht der ISO/IEC 27000 Normenreihe eine umfassende Bearbeitung bevor. Den Anfang hat die ISO/IEC 27002 gemacht, die sich kurz vor der Veröffentlichung befindet und weitreichende Änderungen mit sich bringt. Diese wirken sich wiederum auf die ISO/IEC 27001 aus.
Nach der letzten Veröffentlichung im Jahr 2013 erfährt die ISO/IEC 27002 nun eine große Überarbeitung. 2021 wurde in den Entwürfen bereits deutlich, welche Änderungen die finale Version 2022 beinhalten wird. Dabei handelt es sich nicht um einen Facelift, sondern es werden eine neue Struktur und Inhalte eingeführt, die sich an den aktuellen Best Practices der Informationssicherheit orientieren. Security-Verantwortliche sollten sich bereits frühzeitig auf diese Änderungen einstellen, denn im Jahr 2022 wird ebenfalls mit einer ersten Draft-Version der überarbeiteten ISO/IEC 27001 gerechnet. Dort werden sich die Änderungen der ISO/IEC 27002 direkt im Anhang A widerspiegeln. Welche Änderungen die Novellierung beinhaltet und wie sich diese auf ein Informationssicherheits-Managementsystem (ISMS) auswirken, beschreiben wir in diesem Blog-Post.
ISO/IEC 27002: Was ändert sich?
Die wahrscheinlich gravierendste Änderung der neuen ISO/IEC 27002 ist die aktualisierte Struktur. So wurden die bestehenden 14 Abschnitte drastisch auf vier Themenblöcke (organisationale, personelle, physische und technologische Maßnahmen) zusammengestrichen. Auch hinsichtlich der eigentlichen Maßnahmen hat eine Reduktion stattgefunden: So befinden sich in der novellierten Ausgabe „lediglich“ 93 gegenüber den 114 Maßnahmen der Version von 2013. Wer jedoch denkt, dass hierdurch die Anforderungen der Norm und deren Komplexität gesunken sind, ist auf dem Holzweg: Tatsächlich wurde nur eine Maßnahme (A.11.2.5 Entfernen von Werten) aus den Anforderungen entfernt. Alle anderen Maßnahmen wurden konsolidiert, zusammengefasst oder blieben bestehen. Hinzu kommen elf neue Maßnahmen:
- Threat intelligence (5.7)
- Information security for use of cloud services (5.23)
- ICT readiness for business continuity (5.30)
- Physical security monitoring (7.4)
- Configuration management (8.9)
- Information deletion (8.10)
- Data masking (8.11)
- Data leakage prevention (8.12)
- Monitoring activities (8.16)
- Web filtering (8.22)
- Secure coding (8.28)
Zusätzlich werden die Maßnahmen in der Novellierung mit einem Hashtag hinsichtlich des Kontrolltyps (z.B. #präventiv), der Informationssicherheitseigenschaft (z.B. #vertraulichkeit), des Cybersecurity-Konzeptes (z.B. #detec), der operativen Fähigkeiten (z.B. #physical_security) sowie der Sicherheitsdomäne (z.B. #resilience) bewertet. Diese werden in der Novellierung als Attribute bezeichnet.
Damit ergibt sich ein gesamtheitlich neuer Aufbau der einzelnen Maßnahmen in folgendem Konstrukt:
- „Control title“: Bezeichnung der Maßnahme
- „Attribute title“: Die Tabelle zeigt Wert(e) des Attributs für die jeweilige Maßnahme
- „Control“: Beschreibung der Maßnahme
- „Purpose“: Zweck der Maßnahme wird erläutert (es gibt keine Ziele mehr in den Kategorien, dafür hat jede Maßnahme jetzt ihren eigenen Zweck)
- „Guidance“: Implementierungshinweise für die Maßnahme
- „Other Information“: Erläuternder Text, Verweise auf zugehörige Dokumente
Diese Einordnung erinnert ein wenig an den tabellarischen Aufbau des COBIT2019-Katalogs.
Was bedeutet die Novellierung für Zertifizierungen?
Doch welche Auswirkungen hat die Novellierung auf eine Zertifizierung und das ISMS? Grundsätzlich manifestiert die ISO/IEC 27002 die Umsetzungsempfehlungen für ein ISMS nach ISO/IEC 27001. Demnach gibt es vorerst keine Auswirkungen auf eine Zertifizierung. Dennoch lässt sich erahnen, dass die ISO/IEC 27002:2022 den künftigen Anhang A der ISO/IEC 27001 widerspiegelt und deren Novellierung, welche voraussichtlich im Frühjahr 2022 beginnt, eine unmittelbare Auswirkung auf künftige Überwachungs- und (Re-)Zertifizierungsaudits hat.
Gap-Analyse mit neuen Anforderungen
Aus diesem Grund sollten Organisationen so früh wie möglich eine Gap-Analyse zwischen der Umsetzung der Anforderungen aus der ISO/IEC 27001:2013 und den neuen Anforderungen der ISO/IEC 27002:2022 durchführen. Ziel ist, etwaige Abweichungen zu den neuen Maßnahmen frühzeitig zu entdecken und zu beheben. Derartige Soll-/Ist-Vergleiche könnten beispielsweise beim nächsten internen ISMS-Audit durchgeführt werden.
Zudem werden einige der Vorgabedokumente (z.B. Richtlinien oder Standards) sowie Nachweisdokumente (z.B. Prozessbeschreibungen) gemäß den neuen Anforderungen aktualisiert oder gar neue Dokumente erstellt. Bei dieser Gelegenheit sollte auch der Kontext einer Organisation nochmals genauer begutachtet werden: Durch den stärkeren Bezug zu Cybersecurity und Datenschutz in der neuen Fassung werden sich der allgemeine Kontext, die interessierten Parteien sowie der Anwendungsbereich möglicherweise verändern. Der risikobasierte Ansatz der ISO/IEC 27000-Reihe verlangt zudem eine erneute Risikobewertung. Hintergrund sind Anpassungen der Anwendbarkeitserklärung (Statement of Applicability = SoA) durch Änderungen des Anhang A. Daraus ergeben sich zusätzliche Möglichkeiten zur Anpassung oder Definition von KPIs, um die Informationssicherheit zu bestimmen.
Reifegrad des ISMS verbessern
Abgesehen von diesen Punkten und dem damit verbundenen, teilweise beträchtlichen Aufwand, ergeben sich jedoch auch einige Chancen durch die Implementierung der ISO/IEC 27002:2022-Maßnahmen. Der alte Code of Practice (Anhang A) hat mittlerweile schon einige Jahre hinter sich und befasst sich daher noch mit älteren Technologien und Risiken. Die Novellierung hingegen hebt die Norm auf ein zeitgemäßes Level. Durch die Einführung der neuen und angepassten Maßnahmen in Kombination mit den bestehenden wird der Reifegrad des ISMS weiter gesteigert. So schützt es besser vor Kompromittierungen und anderen Schäden.
Die Verjüngungskur als Chance nutzen
Es zeigt sich, dass die Veröffentlichung der ISO/IEC 27002 im laufenden Jahr noch keine direkte Auswirkung auf die Zertifizierung hat. Jedoch sollten sich Unternehmen bereits jetzt mit der Novellierung befassen und die dort vorgestellten Änderungen auch mit ihrem ISMS abgleichen. Hierdurch können sie das ISMS einer Anti-Aging-Kur unterziehen, denn die aktualisierte Norm betrachtet viele aktuelle Trends und Best Practices der Informationssicherheit. Zudem sind Organisationen optimal auf die Novellierung der ISO/IEC 27001 vorbereitet, die relevant für Überwachungsaudits oder die (Re-)Zertifizierung sein werden.
Quelle Titelbild: AdobeStock/WhataWin