Ein kleiner Blick in die Familie der ISO 2700X – Heute: die neue ISO 27002

Im Februar 2022 wurde die neue, nunmehr dritte Version der ISO-Norm 27002 offiziell freigegeben, welche die vorherige Version aus dem Jahr 2013 ersetzt.

Wie bei diesen Normen üblich, liegt zunächst die englischsprachige Version vor. Eine deutsche Übersetzung ist vermutlich nicht vor 2023 zu erwarten. Die Inhalte der ISO 27002:2022 wurden teilweise überarbeitet und aktualisiert, an einigen Stellen wurden Themengebiete zusammengefasst und gestrafft. Obwohl sich die Anzahl der enthaltenen Controls somit von 114 auf nunmehr 93 verringert hat, ergeben sich keineswegs weniger Aktivitäten bei der praktischen Umsetzung der Hinweise, ganz im Gegenteil: zu den bestehenden Controls sind 11 neue hinzugekommen. So wurde z.B. mit Kapitel 5.7 das Thema „Threat Intelligence“ neu hinzugefügt, in Kapitel 7.4 die *Überwachung* der physischen Sicherheit („Physical security monitoring“) neu aufgenommen oder in Kapitel 8.12 „Data Leakage Prevention“, also die Verhinderung eines Datenabflusses.

Neben den neuen Controls finden sich auch einige nicht so offensichtliche Verschärfungen in der neuen Version: so wird beispielsweise in Kapitel 5.1. nicht nur wie bisher die Bekanntmachung der Informationssicherheitsleitlinie gefordert, sondern vielmehr zusätzlich die bewusste Bestätigung der Kenntnisnahme („acknowledged by relevant personnel“) durch die eigenen Mitarbeiter. Eigentlich nur eine kleine Änderung, die jedoch den Stellenwert von Informationssicherheit im Unternehmen und die Bedeutung der getroffenen Vorgaben stärker betonen soll.
Auf den Zusammenhang zwischen den Normen ISO 27001, ISO 27002 und ISO 27019 werden wir in einem separaten Artikel eingehen. Vorab nur soviel: die Änderungen in der neuen ISO 27002 werden auch Auswirkungen auf die ISO 27001 haben …

Was Sie auch interessieren könnte:

Seminar:

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!