Die neue Version von ISO 27002 hat Folgen für ISO 27001

10. März 2022, 09:59
  • security
  • Technologie-Standard
  • iso 27001
image

Organisationen, die ISO-27001-zertifiziert sind, kommen nicht an Anpassungen vorbei.

ISO-Standards tendieren zur Langlebigkeit. Wenn sie aber irgendwann überarbeitet werden, so hat das Auswirkungen. So wie bei ISO 27002:2022. Komplett ersetzt wird nicht nur ISO 27002:2013, sondern indirekt auch Annex A von ISO 27001. Denn dieser stammt von ISO 27002.
Das hat mittelfristig substantiellen Einfluss auf die ISO-27001-Compliance und auf die organisationsspezifischen ISMS (Information Security Management Systeme), die heute in Gebrauch sind.
Wie gross der Anpassungsbedarf ist, hängt von der Ausgestaltung des jeweiligen ISMS ab.

Wer ist betroffen?

Jeder, der mit ISO 27001 zu tun hat. Sei es, weil das ISMS auf ISO 27001 basiert oder weil die Organisation ISO-27001-zertifiziert ist. Mittelfristig, d.h. innerhalb der nächsten 12 bis 36 Monate kommt man nicht um eine Anpassung vorbei.

Was hat sich geändert?

Betroffen sind sowohl die Organisation der Controls wie auch der Umfang. Und das sowohl quantitativ als auch qualitativ. Statt 114 Controls in 14 Kategorien gibt es nun 93 Controls in 4 Kategorien. Davon sind 11 neu.

Organisation

Es gibt neu nur noch vier Kategorien für die Controls:
  • (5) Organizational Controls
  • (6) People Controls
  • (7) Physical Controls
  • (8) Technical Controls
Das ist in der Ausgabe 2022 deutlich aufgeräumter als in der Ausgabe 2013.

Neue Controls

Folgende Controls sind neu:
  • Threat intelligence
  • Information security for use of cloud services
  • ICT readiness for business continuity
  • Physical security monitoring
  • Configuration management
  • Information deletion
  • Data masking
  • Data leakage prevention
  • Monitoring activities
  • Web filtering
  • Secure coding
Mapping Tables
Die Reduktion auf vier Kategorien hat zu vielen Änderungen und Verschiebungen geführt. Mapping Tables zwischen ISO 27002:2013 und ISO 27002:2022 in beiden Richtungen, erleichtern das Zurechtfinden. Eine Tabelle gibt es hier (klick startet Download eines Excel-Dokuments).

Loading

Mehr zum Thema

image

Mutmasslicher Cyberangriff auf den Vatikan

Russische Hacker sollen verschiedene Websites des Zwergstaates angegriffen haben, weil der Papst den Angriffskrieg in der Ukraine als "grausam" bezeichnete.

publiziert am 1.12.2022
image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022
image

Bei Infopro laufen erste Systeme nach Cyber­angriff wieder

Der Berner IT-Dienstleister kann erste Systeme wieder hochfahren und hofft, im Verlauf dieser Woche zum Normal­betrieb zurückkehren zu können.

publiziert am 28.11.2022