Mit der Revision der ISO 27002:2022 wurde ein Referenzsatz für Informationssicherheitskontrollen bereitgestellt, der auf dem Informationssicherheits-Risikomanagement basiert und andere Normen der 27000er Familie verbessern soll.
Das ständig wachsende Bedrohungsumfeld, die Sicherheitsschwachstellen und das rasante Wachstum der digitalen Technologie scheinen mit der Aktualisierung der ISO 27002:2022 den fehlenden Bedarf zu decken.
Was ist neu in ISO 27002:2022?
ISO 27002:2013 war in 14 Klauseln unterteilt und enthielt 114 Kontrollen. Diese wurde umstrukturiert und umfasst in der Version 2022 93 Kontrollen, die in 4 Abschnitte unterteilt sind:
5. Organisatorisches (37 Kontrollen)
6. Menschen (8 Kontrollen)
7. Physisch (14 Kontrollen)
8. Technologisch (34 Kontrollen)
Antworten auf Ihre wesentlichen Fragen
1 – Was ist der Unterschied zwischen ISO 27001 und ISO 27002?
ISO 27001 ist die Hauptnorm, nach der sich Unternehmen zertifizieren lassen können. Unternehmen können sich nicht nach ISO 27002:2022 zertifizieren lassen, da es sich nur um eine unterstützende Norm handelt.
In Anhang A enthält ISO 27001 lediglich eine Liste von Sicherheitskontrollen, ohne zu erläutern, wie diese implementiert werden können; ISO 27002 führt dieselben Kontrollen auf und gibt Anleitungen zu ihrer Implementierung. Dieser Leitfaden in ISO 27002 ist jedoch nicht verpflichtend, d. h. die Unternehmen können selbst entscheiden, ob sie ihn verwenden wollen.
2 – Wann werden diese Änderungen eintreten?
ISO 27002 wurde am 15. Februar 2022 aktualisiert, und Anhang A von ISO 27001 wird mit diesen Änderungen in Einklang gebracht werden.
Die Aktualisierung des Anhangs A der ISO 27001-Norm wird im Jahr 2022 erfolgen, das Datum wurde noch nicht bekannt gegeben.
3 – Wir wollen mit der Umsetzung von ISO 27001 beginnen. Sollten wir warten, bis die Änderungen veröffentlicht werden, oder sollten wir jetzt damit beginnen?
Wenn Ihr aktueller oder potenzieller Kunde darauf wartet, dass Sie sich zertifizieren lassen, sollten Sie so schnell wie möglich damit beginnen; wenn Sie mit Ihrem Projekt bis Ende 2022 warten können, können Sie auf die aktualisierte Norm warten.
Diese Entscheidung hat also nichts mit den Normen zu tun, sondern hängt davon ab, wie schnell Sie die ISO 27001-Zertifizierung benötigen.
4- Wenn wir nun mit der Anwendung von ISO 27001 beginnen, werden wir dann mit den neuen Kontrollsätzen oder den alten fortfahren?
Sie sollten mit den bestehenden Kontrollen beginnen, da die Änderungen an ISO 27001 noch nicht veröffentlicht wurden.
Die Umstellung auf die neue Revision der Norm wird ein geringer Aufwand sein, da die Änderungen an den Kontrollen nur moderat sind und Sie genügend Zeit haben, die Dokumentation für die neuen Kontrollen zu aktualisieren.
5- Wir haben ISO 27001 bereits eingeführt, was müssen wir an unserer Dokumentation ändern?
Die Änderungen in den Normen beziehen sich hauptsächlich auf die Neuorganisation der Kontrollen, so dass keine Änderungen in den technischen Abschnitten erforderlich sind, sondern nur Änderungen in der Dokumentation.
Da die Änderungen moderat sind, empfehlen wir Ihnen, keine neuen Dokumente hinzuzufügen oder bestehende Dokumente zu löschen.
6- Wann müssen wir unsere Dokumente ändern?
Der Übergangszeitraum für diese Änderungen wurde noch nicht bekannt gegeben, wird aber wahrscheinlich 24 Monate ab dem offiziellen Aktualisierungsdatum der ISO 27001:2022 betragen.
Sie werden also genügend Zeit haben, die Vorschriften zu erfüllen.
7 – Muss die Zertifizierungsstelle auf Änderungen in den Dokumenten achten?
Ja, wenn Ihr Unternehmen zertifiziert ist, wird die Zertifizierungsstelle prüfen, ob Sie Ihre Dokumente während der Übergangszeit angepasst haben.
Da sie dies im Rahmen der regelmäßigen Überwachungsaudits tun, ist es nicht erforderlich, ein neues Audit zu planen.
Auswirkungen auf die einschlägigen ISO 27000-Normen
Es gibt viele Normen und Rahmenwerke, die mit der ISO 27002:2013 in Verbindung stehen oder auf ihr basieren. Die Ersetzung der Norm durch eine neue Version wird sich auf jeden Fall auf sie auswirken.
Zunächst einmal wird erwartet, dass die ISO 27001 kurz nach der Fertigstellung und Veröffentlichung der ISO 27002:2022 aktualisiert wird. Nach derzeitigem Kenntnisstand wird sich die Aktualisierung der ISO 27001 auf geringfügige Textänderungen und eine vollständige Überarbeitung von Anhang A in Übereinstimmung mit der Aktualisierung der ISO 27002 beschränken.
Es wird erwartet, dass sie in gemeinsamen Normen wie ISO 27701, ISO 27017 und ISO 27018 aktualisiert wird.
Während die Gesamtstruktur der Norm anderen Normen ähnelt, wurde die Struktur der Kontrollabschnitte grundlegend geändert. Die ISO 27002:2013, die aus 14 Klauseln besteht, wird durch 4 Klauseln ersetzt, wie der nächste Vergleich zeigt.
Was sollen wir tun?
Zunächst ist zu bedenken, dass die Veröffentlichung eines neuen, zu bestätigenden Standards unter normalen Umständen eine Übergangszeit darstellt. Normalerweise beträgt die Übergangszeit 24 Monate, je nachdem, wo die Zertifizierung im aktuellen Zertifizierungszyklus steht.
Sie können mit der Vorbereitung beginnen, indem Sie die veröffentlichte Version von ISO 27002:2022 erwerben.
Was können Sie in diesem Stadium tun?
Diese Liste ist zwar nicht erschöpfend, aber es sind vielleicht die ersten Schritte, die Sie unternehmen können;
– Kaufen Sie den aktualisierten Standard,
– Vergleich zwischen der neuen und der alten Norm,
– Erstellung einer Risikoanalyse und Überprüfung der GAP-Analyse,
– Wählen Sie anwendbare Kontrollen aus und legen Sie Ihre ISMS-Richtlinien, Standards und Aktualisierungen fest.
– Aktualisieren Sie Ihre Erklärung zur Anwendbarkeit,
– Aktualisieren Sie Ihr internes Auditprogramm, um ausgewählte aktualisierte Kontrollen einzubeziehen …. Etc.
–
Beitrag von CFE