Am 28. Januar 2021 erschien nach einer dreijährigen Überarbeitungsphase der internationale Entwurf für ISO/IEC DIS 27002:2021. Sie ist ein wichtiger Teil der 27000-Normenreihe und beinhaltet Richtlinien und Empfehlungen zu diversen Kontrollmechanismen für ein verbessertes Informationssicherheitsmanagement in Unternehmen. Obwohl die Umsetzung der Anforderungen aus ISO 27002 nicht verpflichtend für Unternehmen ist, wirken ihre Inhalte sich auf die anderen Standards der Reihe aus. So beschreiben und konkretisieren sie beispielsweise die Anforderungen aus dem Annex der ISO 27001 mithilfe sogenannter „Guidances“. Diese unterstützen bei der Erstellung von Policies und beinhalten Hinweise zu der konkreten Umsetzung der dort aufgeführten Controls der Anforderungen aus der ISO 27001. Da sich die Struktur der ISO/IEC DIS 27002:2021 stark von der alten Version unterschiedet, ist nach der finalen Veröffentlichung der ISO 27002 voraussichtlich im Herbst 2021 mit Folgeanpassungen an diversen ISO-27000-Normen und -Standards zu rechnen.
Der aktuelle Entwurf steht nun international für etwa 12 Wochen zur Prüfung öffentlich zur Verfügung. Die Experten unseres Security Consulting Teams, die seit vielen Jahren Unternehmen beim Aufbau und der Optimierung ihrer Informationssicherheitsmanagementsysteme beraten, haben bereits einen Blick in den Entwurf geworfen und die wichtigsten Neuerungen für Sie zusammengefasst:
Scope
Der Scope bleibt von den Änderungen unberührt.
Struktur
Die größte Änderung betrifft formale und strukturelle Änderungen. Der Aufbau der einzelnen Kapitel der Norm wurde vollständig überarbeitet. Während die bis dato gültige Version ISO/IEC 27001:2013 aus 14 Security Control Clauses besteht, denen 35 Security Categories mit insgesamt 114 Controls untergeordnet sind, ist der neue Entwurf nach 4 Themes mit 93 Controls gegliedert.
Themen und Bereiche
Inhaltlich wurden für die Informationssicherheit relevanteThemen, wie beispielsweise Thread Intelligence und Cloud Security, mit aufgenommen.
Bereiche der ISO/IEC DIS 27002:2021:
- Organizational controls
- People controls
- Physical controls
- Technological controls
Innerhalb dieser vier Bereiche wurden neue Anforderungen aufgenommen, bestehende Anforderungen neu zugeordnet oder zusammengefasst.
Controls
Neben ihrer direkten Zuordnung zu einem der Bereiche enthält jede einzelne Control weitaus mehr Informationen: Neben Titel, Beschreibung und Guidance sind jeder Control nun noch zusätzlich ein Zweck und bestimmte Attribute zugeordnet. Zu den wichtigsten Attributen gehören beispielsweise die „Control Types“ #Preventive, #Detective oder #Corrective und die „Information Security Properties“ #Confidentiality #Integrity oder #Availability. Die feste Zuteilung dieser Attribute durch die Norm selbst erhöht die Transparenz und reduziert den Interpretationsspielraum bei ihrer Anwendung.
Das sagen unsere Experten
„Die Norm wurde wirklich sehr aufwändig überarbeitet. Kaum ein Control ist identisch zur aktuellen Fassung, überall hat sich etwas – wenn auch nur Kleinigkeiten – geändert. Unser Urteil ist insgesamt sehr positiv. Wichtige Best Practices und Trends der Informationssicherheitsbranche sind in der neuen Entwurfsfassung berücksichtigt worden. Doch was ich noch wichtiger finde: Viele Dinge sind nun einfach klarer. Texte und Definitionen sind geschärft worden und die Attribute sorgen für Einheitlichkeit in der Auslegung“, fasst Andrea Rupprich, Managing Security Consultant der usd AG, ihre Eindrücke zusammen.
Im usd Webinar „Blick in den Entwurf der ISO 27002“ gaben Andrea Rupprich und Maximilian Müller einen tieferen Einblick in die Änderungen. Die Aufzeichnung des Webinars zum Nachschauen finden Sie hier.