ISO 27002 erfährt eine umfassende Überarbeitung: Was das für die ISO 27001 Zertifizierungen von Unternehmen bedeutet

  • April 26, 2021

Die Internationale Organisation für Normung (ISO) ändert nach 20 Jahren die Struktur des ISO 27001/27002 Kontrollrahmens. Der Name der Norm hat sich mehrmals geändert – British Standard (BS) 7799 Teil 1 & 2 in den 1990er Jahren, zu ISO 17799 im Jahr 2000, gefolgt von ISO 27001/27002 – aber die Struktur der Kontrollen blieb bis jetzt weitgehend gleich.

Was ist der Unterschied zwischen ISO 27001 und ISO 27002?

Man kann eine ISO 27001 Zertifizierung erhalten, aber keine ISO 27002 Zertifizierung, da es sich nicht um einen Managementstandard handelt, der eine vollständige Liste der Compliance-Anforderungen bietet. ISO 27002 ist ein ergänzender Standard, der Ratschläge gibt, wie Informationssicherheitskontrollen implementiert werden können, und sie sind in Anhang A von ISO 27001 aufgeführt.

ISO 27001 verlangt von Unternehmen, eine Risikobewertung durchzuführen, um Risiken zu identifizieren, welche Kontrollen erforderlich sind, um das Risiko zu mindern und wie es umgesetzt werden soll. ISO 27002 hingegen bietet lediglich Informationen zu einer Kontrolle, wie sie funktioniert und wie sie implementiert werden könnte – es gibt keine Hinweise darauf, ob sie für Ihr Unternehmen anwendbar ist.

Wie wirken sich die Überarbeitungen von ISO 27002 auf Ihr Unternehmen aus?

Typischerweise bietet ISO einen Zeitraum, bevor Unternehmen verpflichtet sind, den aktualisierten ISO 27001 Standard zu übernehmen, damit Unternehmen Zeit haben, Änderungen vorzunehmen. Sie können erwarten, dass der neue Standard innerhalb des nächsten Jahres veröffentlicht wird.

ISO 27001 erfordert möglicherweise weniger Implementierung als das, was ISO 27002 empfiehlt, aber wir werden mehr Klarheit haben, sobald der neue ISO 27001 Standard veröffentlicht ist. Es wird einige Konfigurations- und Prozessänderungen geben, die einfacher umzusetzen sind, wie z.B. das Abonnieren von Bedrohungsintelligenz-Feeds.

Diese Änderungen zu navigieren kann verwirrend sein, aber Secureframe ist hier, um zu helfen! Wenn der neue ISO 27001 Standard veröffentlicht wird, können Secureframe-Kunden problemlos vor ihrem nächsten Audit umstellen.

Was ändert sich in den ISO-Standards?

Viele Kontrollen wurden entfernt und konsolidiert, während einige neue hinzugefügt wurden. Statt 14 Kategorien mit 114 Kontrollen gibt es jetzt 4 Themen mit 93 Kontrollen.

Neue Kontrollen wurden hinzugefügt, um Folgendes abzudecken:

  • Bedrohungsintelligenz
  • Informationssicherheit für die Nutzung von Cloud-Diensten
  • Informations- und Kommunikationstechnologie (IKT) Bereitschaft für die Aufrechterhaltung des Geschäftsbetriebs
  • Physische Sicherheitsüberwachung
  • Konfigurationsmanagement
  • Informationslöschung
  • Datenmaskierung
  • Verhinderung von Datenlecks
  • Überwachungsaktivitäten
  • Webfilterung
  • Sicheres Programmieren

Es gibt jetzt fünf Attribute für jede Kontrolle:

Entsprechungen und Abbildungen mit ISO/IEC 27002:2013 sind in Anhang B im ISO 27002-Entwurf verfügbar.

Wenn Sie bereit sind, ISO 27001-konform zu werden oder Ihre Zertifizierung zu erneuern, aber nicht wissen, wie Sie diese Änderungen navigieren sollen, kann Secureframe helfen! Fordern Sie eine Demo an oder wenden Sie sich bitte an sales@secureframe.com und wir helfen Ihnen gerne weiter.