Wie man sieht, wird die Erklärung zur Anwendbarkeit (Statement of Applicability [SoA]) zukünftig etwas komplexer werden, wenn nun zusätzlich eine Kategorisierung/Zuordnung nach Art des Controls, Maßnahmen-Attribut, Zuordnung zu Themengebieten/Anwendungsgebiet sowie unterstütze Schutzziele erfolgen muss.
Annex der ISO/IEC 27002
Der Anhang der ISO 27002:2022 bietet allerlei hilfreiche Informationen bezüglich der Maßnahmen, ihrer jeweiligen Steuerelemente und Attribute. Weiterhin wird dargestellt, welche der Controls aus der 2013er Norm die neuen, aktualisierten Controls ausmachen; also welche Maßnahmen wie zusammengefasst wurden.
Was bringt das Update der Norm nun?
Die ISO/IEC 27002:2022 hat sprichwörtlich ein komplett neues Layout bekommen. Die bisherigen 14 Kontrollziele wurden in vier Kategorien gruppiert und, wo sinnvoll, zusammengefasst. Die deutliche Reduzierung, von 114 auf zukünftig lediglich 93 Maßnahmen, ist auf das logische Zusammenführen zuvor einzelner Controls zurückzuführen. Insgesamt sind 11 neue Controls hinzugekommen. Insbesondere rücken dabei die Identifikation, Vermeidung, Entdeckung und Reaktion von bzw. auf Cyberattacken sowie der Schutz von Daten stärker in den Fokus. Dadurch ist die überarbeite Version der ISO/IEC 27002 umfassender und trägt aktuellen IT-Trends aber auch aktuellen Gefährdungen Rechnung. Jedoch ist es nicht damit getan, nur die neuen 11 Controls nur umzusetzen, denn auch in den bekannten Controls sind neue beziehungsweise erweiterte Umsetzungshinweise enthalten.
Noch gibt es keine überarbeitete ISO/IEC 27001. Doch schon jetzt sollten sich alle, die ein ISMS nach ISO/IEC 27001 betreiben, mit der neuen ISO/IEC 27002 bzw. der neuen Struktur, den neuen Controls und erweiterten Umsetzungshinweisen auseinandersetzen und bereits jetzt Schritte einleiten. Ab Veröffentlichung einer neuen ISO/IEC 27001, die für Ende 2022 erwartet wird, besteht voraussichtlich eine Übergangszeit von einem Jahr, in der die alte Struktur noch für eine Managementsystem-Zertifizierung herangezogen werden kann. Bestehende Zertifizierungen müssen voraussichtlich erst nach drei Jahren auf die neue Struktur umstellen.
Auswirkung auf andere Regelwerke und Branchenspezifische Sicherheitsstandards
Viele andere Regelwerke, Handlungs- und Orientierungshilfen zum Informationssicherheits-management sowie Branchenspezifische Sicherheitsstandards (siehe Webseite bsi) verweisen nicht selten auf Controls der ISO/IEC 27701 oder Umsetzungshinweise der ISO/IEC 27002.
Diese Dokumente werden – sofern eine Überarbeitung bzw. Weiterentwicklung erfolgt, ebenfalls überarbeitet bzw. an die neue Struktur und Kennzeichnung angepasst werden. Das bedeutet, dass sich auch Unternehmen und Organisationen mit der neuen Norm auseinandersetzen sollten, deren Normen- /Umsetzungsgrundlage nur indirekt etwas mit der ISO/IEC 27000er Normenreihe zu tun hat. Beispielsweise der überwiegende Teil der Betreiber kritischer Infrastrukturen.
Haben Sie Fragen dazu? Unsere Experten unterstützen Sie gerne!
Bei Interesse vereinbaren Sie gerne einen Termin mit uns unter info@hbsn-ag.de | 030 408173352