Die neue ISO/IEC 27002:2021

Anläss­lich des SEC4YOU Anwen­der­tref­fens im Juni 2021 haben wir den aktu­el­len Draft die neue ISO/IEC 27002:2021 vorgestellt.

Die neue ISO 27002:2021 ist eine Erwei­te­rung der in die Jah­re gekom­me­ne ISO 27002:2013 (+Kor­rek­tu­ren aus 2014 und 2015) und ergänzt die­se um fol­gen­de Kontrollziele:

• Thre­at intelligence
• Infor­ma­ti­on secu­ri­ty for use of cloud services
• ICT Rea­di­ness for Busi­ness Continuity
• Phy­si­cal secu­ri­ty monitoring
• Con­fi­gu­ra­ti­on managemet
• Infor­ma­ti­on deletion
• Data mas­king
• Data leaka­ge prevention
• Moni­to­ring activities
• Web fil­te­ring
• Secu­re coding

Die Struk­tur und der Inhalt

Die Struk­tur wur­de wesent­lich geän­dert und umfasst nun die fol­gen­den Bereiche:

• 5. Orga­ni­sa­to­ri­sche Kontrollen
• 6. Per­so­nel­le Kontrollen
• 7. Phy­si­sche Kontrollen
• 8. Tech­no­lo­gi­sche Kontrollen

Aus den 114 Kon­troll­zie­len der 27002:2013 sind rd. 93 Kon­troll­zie­le in der ISO 27002:2021 geworden.

Obwohl der Begriff „Cyber­se­cu­ri­ty“ im Titel der Norm steht, gibt es kein ein­zi­ges Kon­troll­ziel, das sich spe­zi­ell mit Cyber­se­cu­ri­ty Gefah­ren beschäf­tigt. Aber natür­lich unter­stüt­zen die Info­Sec Maß­nah­men die Resi­li­enz gegen Cyberangriffe.

Das The­ma Daten­schutz wird auf einer ¾ Sei­te abge­han­delt, somit bie­tet die Norm kei­ne umfas­sen­den Emp­feh­lun­gen für den Datenschutz.

Im hin­te­ren Bereich der Norm gibt es eine ein­fach anzu­wen­den­de Map­ping-Tabel­le, über die alle Kon­trol­len der 27002:2013 effi­zi­ent auf die neue Num­me­rie­rung der ISO/IEC 27002:2021 über­führt wer­den kön­nen. Das hilft bestehen­de Richt­li­ni­en neu zu struk­tu­rie­ren und schnell deren Voll­stän­dig­keit zu erkennen.

Wis­sens­wer­tes zur Norm

• Die ISO 27001:2013 wird der­zeit an die Struk­tur der ISO 27002:2021 ange­passt, wobei die Ende 2021 bzw. Anfang 2022 abge­schlos­sen wer­den soll­ten. Ab Gül­tig­keit der Über­ar­bei­tung besteht eine Über­gangs­zeit von einem Jahr in der die alte Struk­tur noch für eine Zer­ti­fi­zie­rung her­an­ge­zo­gen wer­den kann.
• Unter­neh­men, die sich ab 2022 zer­ti­fi­zie­ren wol­len, emp­feh­len wir, ihr ISMS bereits nach der neu­en Struk­tur zu erstel­len und mit dem 27002:2013 zu 27002:2021 Map­ping in Anhang B der Norm zu arbeiten.
• Unter­neh­men mit bestehen­der 27001 Zer­ti­fi­zie­rung müs­sen vor­aus­sicht­lich erst nach 3 Jah­ren auf die neue Struk­tur umstel­len. Auf jeden Fall soll­ten sich aber alle Unter­neh­men an den neu­en Kon­troll­zie­len ori­en­tie­ren und die­se implementieren.
• Wann kann man die Norm kau­fen? Vor­aus­sicht­lich ab Ende 2021.

Fra­gen?

Ger­ne ste­hen wir über unser Kon­takt­for­mu­lar und auch tele­fo­nisch zur Verfügung.