+31(0)115-612689 info@we-management.com

Änderungen ISO 27002

Veröffentlichungsdatum des Artikels: 26.10.2021

Ziel der ISO-Organisation ist es, alle 5 Jahre ihre Standards zu überprüfen und neue Erkenntnisse zu verarbeiten. Für Ende dieses Jahres ist eine Änderung der ISO 27002 geplant, der Norm, die untrennbar mit der ISO 27001 verbunden ist – der Norm, die Anforderungen an die Implementierung eines Informationssicherheits-Managementsystems formuliert. Welche Änderungen dies sein werden und wie mit ihnen umgegangen werden kann, informiert dieser Artikel kurz.

Änderungen ISO 27002 – 1. Quartal 2022 (erwartet)

Veröffentlichungsdatum des Artikels: 26.10.2021

Aktuelle Version: NEN-EN-ISO/IEC 27002:2017 nl (unterscheidet sich inhaltlich nicht von der Version 2013).
Voraussichtliche Veröffentlichung: 1. Quartal 2022
Auswirkung: Sicherheitsmaßnahmen erneut prüfen – Dokumentation anpassen – ggf. neue Maßnahmen einleiten
Umsetzung ab Publikationsänderung: Nach ISO 27001 Anpassung: Neuzertifizierung – sofort; bestehende Zertifizierung innerhalb von 3 Jahren
Empfehlung: Nach Anpassung der ISO 27001: Implementierung während der Rezertifizierung (um zusätzliche Auditzeit während des Audits zu vermeiden) – bereiten Sie sich bereits intern auf diese Änderung vor

Was deckt die ISO 27002 ab?

Dieser Standard bietet Richtlinien für die Umsetzung von Informationssicherheitsmaßnahmen innerhalb einer Organisation. Die Maßnahmen sind in ISO 27001 im Anhang A aufgeführt. Wenn ein Unternehmen sein Informationssicherheits-Managementsystem nach ISO 27001 zertifiziert hat, muss das Unternehmen anhand einer Risikoanalyse und des Maßnahmenkatalogs im Anhang A der ISO 27001, welche Maßnahmen (insgesamt 114) gelten. Vom Unternehmen wird erwartet, dass es Mindest- oder gleichwertige Maßnahmen gemäß diesem Anhang A umsetzt. Dies wird in einem öffentlich zugänglichen Dokument (auf Anfrage) festgehalten, der sogenannten „Anwendbarkeitserklärung“ (ISO 27001 6.1.3 Absatz d).

Die Änderungen

Nachfolgend finden Sie eine kurze Übersicht über die Änderungen.

Das Layout der verschiedenen Sicherheitsmaßnahmen wurde geändert, sodass das Dokument anders strukturiert ist. Die Maßnahmen sind nun in 4 Kategorien (ursprünglich 14 Kategorien) unterteilt:

  • Kapitel 5 Organisation – 37 Maßnahmen
  • Kapitel 6 Menschen – 8 Maßnahmen
  • Kapitel 7 Physikalisch – 14 Maßnahmen
  • Kapitel 8 Technologisch (Technisch) – 34 Maßnahmen

Die neue Einteilung führt zu einer effizienteren Einteilung der Maßnahmen, zum Beispiel weil Maßnahmen, die an unterschiedlichen Stellen erstmals erwähnt wurden, aber im Grunde das Gleiche bedeuten, nun in einer Kategorie zusammengefasst werden. Auf diese Weise wurden Maßnahmen aus dem alten Standard zusammengeführt oder Maßnahmen entfernt. Statt 114 gibt es nun 93 Takte in dieser neuen Norm. 11 neue Maßnahmen, 3 bestehende Maßnahmen entfernt und eine Reihe, wie bereits erwähnt, zu bestehenden Maßnahmen zusammengefasst.

Die neuen Sicherheitsmaßnahmen entsprechen eher der aktuellen digitalen Transformation und der Zunahme von Cyber-Bedrohungen. Die neuen Maßnahmen beziehen sich daher auf Bedrohungsanalyse, Informationssicherheit von Cloud-Diensten und sichere Programmierung.

Jede Maßnahme hat nun in 5 Bereichen ein #-Label erhalten.

Wo anwendbar

Die ISO 27002 wird voraussichtlich im ersten Quartal 2022 veröffentlicht. Die Zertifizierung erfolgt nicht nach ISO 27002, sondern nach ISO 27001. Deshalb muss diese Norm erst geändert werden, bevor die neue ISO 27002 anwendbar wird. Die wichtigste Änderung für ISO 27001 wird dann sein, dass der Anhang A entsprechend der neuen Maßnahmenklassifizierung aufgenommen wird. Wann die Norm ISO 27001 aktualisiert wird (voraussichtlich 2022/2023), steht noch nicht fest.

Was ist zu tun

Unser Rat ist, mit den angekündigten Änderungen zu beginnen. Nehmen Sie beispielsweise die angekündigten Änderungen in die Planung auf, diskutieren Sie die Auswirkungen in der Organisation und führen Sie interne Audits mit den neuen vorgeschlagenen Maßnahmen zum Thema durch. Natürlich können Sie sich dabei an das WE-Management wenden!

Nachfolgend ein Überblick über die neuen Maßnahmen:

ISO 27002:2022 Beschreibung
5.7 Bedrohungsintelligenz (Bedrohungsintelligenz)
5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
5.30 IT-Bereitschaft für Business Continuity
7.4 Überwachung der physischen Überwachung
8.9 Konfigurationsmanagement
8.10 Entfernung von Informationen
8.11 Datenmaskierung
8.12 Prävention von Datenschutzverletzungen
8.16 Überwachungsdienste
8.22 Webfilterung
8.28 Sichere Verschlüsselung

Die folgende Tabelle zeigt die Maßnahmen, die aus dem alten Standard zu einer Maßnahme zusammengefasst wurden:

ISO 27002:2022 ISO 27002: 2017
5.1 Richtlinien für Informationen

5.1.1 Informationssicherheitsrichtlinien
5.1.2 Überprüfung der Informationssicherheitsrichtlinie

5.9 Bestandsaufnahme von Informationen und anderen zugehörigen Vermögenswerten

8.1.1 Inventar des Unternehmensvermögens
8.1.2 Eigentum an Unternehmensvermögen

5.14 Informationsweitergabe

13.2.1 Richtlinien und Verfahren für die Informationsübertragung
13.2.2 Informationstransportvereinbarungen
13.2.3 Elektronische Nachrichten

5.15 Zugangskontrolle

9.1.1 Zugriffssicherheitsrichtlinie
9.1.2 Zugang zu Netzen und Netzdiensten

5.16 Identitätsmanagement

9.2.1 An- und Abmeldung von Benutzern
9.4.3 Passwortverwaltungssystem

5.17 Authentifizierungsinformationen

9.2.4 Verwaltung geheimer Authentifizierungsinformationen von Benutzern
9.3.1 Verwenden von geheimen Authentifizierungsinformationen

5.18 Zugriffsrechte

9.2.2 Benutzern Zugriff gewähren
9.2.5 Bewertung der Benutzerzugriffsrechte
9.2.6 Zugriffsrechte widerrufen oder ändern

5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantenleistungen

15.2.1 Überwachung und Bewertung der Leistungen der Lieferanten
15.2.2 Management von Änderungen bei Lieferantendienstleistungen

5.29 Informationssicherheit bei Störungen

17.1.1 Planung der Kontinuität der Informationssicherheit
17.1.2 Implementierung der Kontinuität der Informationssicherheit
17.1.3 Überprüfung, Bewertung und Bewertung der Kontinuität der Informationssicherheit

7.10 Speichermedien

8.3.1 Wechselmedienverwaltung
8.3.2 Medien entfernen
8.3.3 Medien physisch übertragen

8.1 Benutzerendpunktgeräte

6.2.1 Richtlinie für Mobilgeräte
11.2.8 Unbeaufsichtigte Benutzergeräte

8.8 Management technischer Schwachstellen

12.6.1 Technisches Schwachstellenmanagement
18.2.3 Bewertung der technischen Konformität

8.15 Protokollieren

12.4.1 Ereignisse protokollieren
12.4.2 Informationen in Protokolldateien schützen
12.4.3 Administrator- und Bedienerprotokolle

8.24 Verwendung von Kryptographie

10.1.1 Richtlinie zur Verwendung kryptografischer Kontrollen
10.1.2 Schlüsselverwaltung
18.1.5 Regelungen zum Einsatz kryptographischer Kontrollen

8.25 Sicherer Entwicklungslebenszyklus

14.1.1 Analyse und Spezifikation von Informationssicherheitsanforderungen
14.2.1 Politik der sicheren Entwicklung

8.26 Anwendungssicherheitsanforderungen

14.1.2 Sichern von Anwendungsdiensten in öffentlichen Netzwerken
14.1.3 Schutz von Application Services-Transaktionen

8.29 Sicherheitstests in Entwicklung und Abnahme

14.2.8 Testen der Systemsicherheit
14.2.9 Systemabnahmetests

8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebung

12.1.4 Trennung von Entwicklungs-, Test- und Produktionsumgebung
14.2.2 Änderungsmanagementverfahren in Bezug auf Systeme
14.2.3 Technische Prüfung von Anwendungen nach Änderungen
Betriebsplattform
14.2.4 Einschränkungen bei Änderungen an Softwarepaketen

8.32 Änderungsmanagement

12.1.2 Änderungsmanagement
14.2.2 Änderungsmanagementverfahren in Bezug auf Systeme
14.2.3 Technische Prüfung von Anwendungen nach Änderungen
Betriebsplattform
14.2.4 Einschränkungen bei Änderungen an Softwarepaketen

Die folgenden Maßnahmen aus ISO 27002:2017 wurden entfernt:

8.2.3 Umgang mit Unternehmensvermögen
11.2.5 Veräußerung von Unternehmensvermögen
16.1.3 Meldung von Sicherheitslücken in der Informationssicherheit

 

Jeder Maßnahme in der neuen Norm wurde ein # zugewiesen, unterteilt in 5 Kategorien:

So kategorisieren Sie #präventiv, #detektiv, #korrektiv
Eigenschaften der Informationssicherheit #Vertraulichkeit, #Integrität, #Verfügbarkeit
Cyber-Sicherheitskonzepte #identifizieren, #schützen, #erkennen, #antworten, #wiederherstellen
Betriebsfähigkeiten #Governance, #Asset_Management, #Information_Protection, #Human_Resource_Security, #Physical_Security, #System_and_Network_security, #Application_Security, #Secure_configuration, #Identity_and_Access_Management, #Threat_and_Vulnerability_Management, #Continuity, #Supplier_compliance_management .security_management
Sicherheitsdomänen #Regierung_und_Ökosystem, #Schutz, #Verteidigung, #Resilienz

Inhaltsverzeichnis neuer Standard:

Vorwort
0 Einführung
1 Umfang
2 Normativer Verweis
3 Begriffe, Definitionen und Abkürzungen
4 Aufbau dieses Dokuments
4.1 Klauseln
4.2 Themen und Attribute
4.3 Steuerungslayout

5 Organisatorische Kontrollen
5.1 Richtlinien zur Informationssicherheit
5.2 Rollen und Verantwortlichkeiten der Informationssicherheit
5.3 Funktionstrennung
5.4 Verantwortlichkeiten des Managements
5.5 Behördenkontakt
5.6 Kontakt mit Interessengruppen
5.7 Bedrohungsintelligenz
5.8 Informationssicherheit im Projektmanagement
5.9 Bestandsaufnahme von Informationen und anderen zugehörigen Vermögenswerten
5.10 Akzeptable Nutzung von Informationen und anderen zugehörigen Vermögenswerten
5.11 Rückgabe von Vermögenswerten
5.12 Klassifizierung von Informationen
5.13 Kennzeichnung von Informationen
5.14 Informationsweitergabe
5.15 Zugangskontrolle
5.16 Identitätsmanagement
5.17 Authentifizierungsinformationen
5.18 Zugriffsrechte
5.19 Informationssicherheit in Lieferantenbeziehungen
5.20 Adressierung der Informationssicherheit in Lieferantenvereinbarungen
5.21 Informationssicherheit in der IT-Lieferkette managen
5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantenleistungen
5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 Planung und Vorbereitung des Informationssicherheitsvorfallsmanagements
5.25 Bewertung und Entscheidung zu Informationssicherheitsereignissen
5.26 Reaktion auf Informationssicherheitsvorfälle
5.27 Lernen aus Informationssicherheitsvorfällen
5.28 Beweiserhebung
5.29 Informationen zur Sicherheit bei Störungen
5.30 IT-Bereitschaft für Business Continuity
5.31 Ermittlung gesetzlicher, gesetzlicher, behördlicher und vertraglicher Anforderungen
5.32 Rechte an geistigem Eigentum
5.33 Schutz von Aufzeichnungen
5.34 Privatsphäre und Schutz von PII
5.35 Unabhängige Überprüfung der Informationssicherheit
5.36 Einhaltung von Richtlinien und Standards für Informationssicherheit
5.37 Dokumentierte Arbeitsanweisungen
6 Personen Kontrollen
6.1 Screening
6.2 Anstellungsbedingungen
6.3 Sensibilisierung für Informationssicherheit, Aus- und Weiterbildung
6.4 Disziplinarverfahren
6.5 Pflichten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 Fernarbeit
6.8 Meldung von Informationssicherheitsereignissen

7 Physische Kontrollen
7.1 Physischer Sicherheitsbereich
7.2 Physische Zugangskontrollen
7.3 Absicherung von Büros, Räumen und Einrichtungen
7.4 Überwachung der physischen Sicherheit
7.5 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 Arbeiten in sicheren Bereichen
7.7 Klarer Schreibtisch und klarer Bildschirm
7.8 Sitzen und Schutz der Ausrüstung
7.9 Sicherheit von Vermögenswerten außerhalb der Geschäftsräume
7.10 Speichermedien
7.11 Unterstützende Dienstprogramme
7.12 Verkabelungssicherheit
7.13 Gerätewartung
7.14 Sichere Entsorgung oder Wiederverwendung von Geräten

8 Technologische Kontrollen
8.1 Benutzerendpunktgeräte
8.2 Privilegierte Zugriffsrechte
8.3 Einschränkung des Informationszugriffs
8.4 Zugang zum Quellcode
8.5 Sichere Authentifizierung
8.6 Kapazitätsmanagement
8.7 Schutz vor Schadsoftware
8.8 Management technischer Schwachstellen
8.9 Konfigurationsverwaltung
8.10 Datenlöschung
8.11 Datenmaskierung
8.12 Verhinderung von Datenlecks
8.13 Informationssicherung
8.14 Redundanz von Informationsverarbeitungseinrichtungen
8.15 Protokollieren
8.16 Überwachungsaktivitäten
8.17 Uhrzeitsynchronisation
8.18 Verwendung privilegierter Dienstprogramme
8.19 Installation von Software auf Betriebssystemen
8.20 Netzwerksteuerungen
8.21 Sicherheits- oder Netzwerkdienste
8.22 Webfilterung
8.23 Segregation in Netzwerken
8.24 Verwendung von Kryptographie
8.25 Sicherer Entwicklungslebenszyklus
8.26 Anwendungssicherheitsanforderungen
8.27 Sichere Systemarchitektur und Engineering-Prinzipien
8.28 Sichere Codierung
8.29 Sicherheitstests in Entwicklung und Abnahme
8.30 Ausgelagerte Entwicklung
8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebung
8.32 Änderungsmanagement
8.33 Testinformationen
8.34 Schutz von Informationssystemen während Audits und Tests

Anhang A Verwenden von Attributen
A.1 Einführung
A.2 Organisationsansichten
Anhang B Entsprechung mit ISO/IEC 27002:2013

 

 

Kontaktiere uns!

 

Terneuzen, Zeeland, NL

+31(0)681924245

tpm.wollrabe@we-management.com