Die neue Version von ISO 27002 hat Folgen für ISO 27001

10. März 2022, 09:59
  • security
  • Technologie-Standard
  • iso 27001
image

Organisationen, die ISO-27001-zertifiziert sind, kommen nicht an Anpassungen vorbei.

ISO-Standards tendieren zur Langlebigkeit. Wenn sie aber irgendwann überarbeitet werden, so hat das Auswirkungen. So wie bei ISO 27002:2022. Komplett ersetzt wird nicht nur ISO 27002:2013, sondern indirekt auch Annex A von ISO 27001. Denn dieser stammt von ISO 27002.
Das hat mittelfristig substantiellen Einfluss auf die ISO-27001-Compliance und auf die organisationsspezifischen ISMS (Information Security Management Systeme), die heute in Gebrauch sind.
Wie gross der Anpassungsbedarf ist, hängt von der Ausgestaltung des jeweiligen ISMS ab.

Wer ist betroffen?

Jeder, der mit ISO 27001 zu tun hat. Sei es, weil das ISMS auf ISO 27001 basiert oder weil die Organisation ISO-27001-zertifiziert ist. Mittelfristig, d.h. innerhalb der nächsten 12 bis 36 Monate kommt man nicht um eine Anpassung vorbei.

Was hat sich geändert?

Betroffen sind sowohl die Organisation der Controls wie auch der Umfang. Und das sowohl quantitativ als auch qualitativ. Statt 114 Controls in 14 Kategorien gibt es nun 93 Controls in 4 Kategorien. Davon sind 11 neu.

Organisation

Es gibt neu nur noch vier Kategorien für die Controls:
  • (5) Organizational Controls
  • (6) People Controls
  • (7) Physical Controls
  • (8) Technical Controls
Das ist in der Ausgabe 2022 deutlich aufgeräumter als in der Ausgabe 2013.

Neue Controls

Folgende Controls sind neu:
  • Threat intelligence
  • Information security for use of cloud services
  • ICT readiness for business continuity
  • Physical security monitoring
  • Configuration management
  • Information deletion
  • Data masking
  • Data leakage prevention
  • Monitoring activities
  • Web filtering
  • Secure coding
Mapping Tables
Die Reduktion auf vier Kategorien hat zu vielen Änderungen und Verschiebungen geführt. Mapping Tables zwischen ISO 27002:2013 und ISO 27002:2022 in beiden Richtungen, erleichtern das Zurechtfinden. Eine Tabelle gibt es hier (klick startet Download eines Excel-Dokuments).

Loading

Mehr zum Thema

image

Ransomware-Bande startet Bug-Bounty-Programm

Bis zu 1 Million Dollar Prämie winkt jenen, die für die Bande Lockbit Fehler und Schwachstellen in deren neuster Malware finden.

publiziert am 1.7.2022
image

Podcast: IT-Security – kleine Betriebe, grosse Probleme

Homeoffice und Cybersecurity: Zwei spannende Themen, die zusammen aber vor allem kleine Betriebe vor grosse Probleme stellen.

publiziert am 1.7.2022
image

Post lässt sich 24 Stunden lang von 150 Hackern angreifen

An einem Live-Bug-Bounty-Event wurden in den Diensten der Post 22 Schwachstellen aufgespürt. Eine davon gilt als kritisch und war dem Konzern 3000 Euro wert.

publiziert am 30.6.2022
image

VBS lanciert Cyber Startup Challenge 2022

Dieses Mal sollen Teilnehmer Lösungen zur automatisierten Netzwerkerkennung und Sicherung von Internet-of-Things-Geräten präsentieren.

publiziert am 30.6.2022