ISO 27002:2022

Die Norm ISO 27002 ergänzt die Norm ISO 27001 um Maßnahmen zur Steigerung der Informationssicherheit. Wir erklären Ihnen Inhalte und Bedeutung der Norm in ihrer aktuellen Version ISO/IEC 27002:2022.

Was ist die ISO 27002?

Die Norm ISO 27002 befasst sich in diversen Kapiteln mit Maßnahmen (Controls), deren Umsetzung geeignet ist, das jeweils verfolgte Sicherheitsziel zu unterstützen. Die Norm ist für eine Zertifizierung nicht normativ (verpflichtend), stellt also nur eine mögliche Interpretation der normativen Anlage A der ISO 27001:2022 dar.

Ähnlich wie bei der ISO 27001 macht auch die ISO 27002 keine konkreten Vorgaben. Wer also etwa Anweisungen zu den korrekten Einstellungen einer Software o.ä. sucht oder wissen will, wie nun ein sicheres Passwort genau aussieht, ist hier falsch.

Die Norm richtet sich vielmehr an einen grundsätzlich fachkundigen Anwender und gibt diesem bestimmte Anhaltspunkte:

  • Welche Rahmenumstände sind hinsichtlich eines bestimmten Ziels relevant?
  • Was für Gefahren bestehen?
  • Welche Faktoren sind bei der Einschätzung eines bestimmten Risikos zu betrachten?
  • Auf welche Gesichtspunkte sollte eine Regelung eingehen, damit der definierte Prozess am Ende auch wirksam ist?

Die Norm ISO 27002 gibt ihre Hinweise stark komprimiert. Der Text enthält kaum überflüssige Worte. Es erfordert damit bereits eine gewisse Fachkunde, um die ISO 27002 richtig lesen und verstehen zu können. Ergänzend muss dem Anwender im Grunde bekannt sein, wie sich die aufgeworfenen Probleme prozessual und technisch lösen lassen.

Im Ergebnis hilft die Norm dem Spezialisten, bei seiner Arbeit nichts zu übersehen.

Aufbau der ISO 27002

Die Norm ISO 27002:2022 befasst sich in ihrer aktuellen Version in vier Kapiteln mit 93 Maßnahmen (Controls). Die Struktur der Norm sieht aktuell folgendermaßen aus:

Kapitel 5 Organisatorische Maßnahmen

5.1 Richtlinien für die Informationssicherheit

5.2 Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit

5.3 Aufgabentrennung

5.4 Verantwortlichkeiten des Managements

5.5 Kontakt mit Behörden

5.6 Kontakt mit besonderen Interessengruppen

5.7 Threat Intelligence

5.8 Informationssicherheit im Projektmanagement

5.9 Inventar von Informationen und anderen zugehörigen Vermögenswerten

5.10 Annehmbare Nutzung von Informationen und anderen zugehörigen Vermögenswerten

5.11 Rückgabe von Vermögenswerten

5.12 Klassifizierung von Informationen

5.13 Kennzeichnung von Informationen

5.14 Übertragung von Informationen

5.15 Zugangskontrolle

5.16 Identitätsmanagement

5.17 Informationen zur Authentifizierung

5.18 Zugangsrechte

5.19 Informationssicherheit in Lieferantenbeziehungen

5.20 Berücksichtigung der Informationssicherheit in Lieferantenvereinbarungen

5.21 Management der Informationssicherheit in der IKT-Lieferkette

5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferdiensten

5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten

5.24 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen

5.25 Bewertung und Entscheidung über Ereignisse im Bereich der Informationssicherheit

5.26 Reaktion auf Vorfälle im Bereich der Informationssicherheit

5.27 Aus Vorfällen in der Informationssicherheit lernen

5.28 Sammlung von Beweismitteln

5.29 Informationssicherheit bei Unterbrechungen

5.30 IKT-Bereitschaft für die Geschäftskontinuität

5.31 Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen

5.32 Rechte an geistigem Eigentum

5.33 Schutz der Aufzeichnungen

5.34 Privatsphäre und Schutz von PII

5.35 Unabhängige Überprüfung der Informationssicherheit

5.36 Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit

5.37 Dokumentierte Betriebsverfahren

Kapitel 6 Personal-Maßnahmen

6.1 Screening

6.2 Arbeits- und Beschäftigungsbedingungen

6.3 Bewusstsein für Informationssicherheit, Bildung und Ausbildung

6.4 Disziplinarverfahren

6.5 Verantwortlichkeiten nach Beendigung oder Wechsel des Beschäftigungsverhältnisses

6.6 Vertraulichkeits- oder Geheimhaltungsvereinbarungen

6.7 Telearbeit

6.8 Berichterstattung über Ereignisse im Bereich der Informationssicherheit

Kapitel 7 Physische Maßnahmen

7.1 Physische Sicherheitsabgrenzungen

7.2 Physischer Eintrag

7.3 Sicherung von Büros, Räumen und Anlagen

7.4 Überwachung der physischen Sicherheit

7.5 Schutz vor physischen und ökologischen Bedrohungen

7.6 Arbeiten in Sicherheitsbereichen

7.7 Freier Schreibtisch und freier Bildschirm

7.8 Standortwahl und Schutz von Geräten

7.9 Sicherheit von Vermögenswerten außerhalb von Geschäftsräumen

7.10 Speichermedien

7.11 Unterstützende Versorgungseinrichtungen

7.12 Sicherheit der Verkabelung

7.13 Wartung der Ausrüstung

7.14 Sichere Entsorgung oder Wiederverwendung von Geräten

Kapitel 8 Technologische Maßnahmen

8.1 Benutzer-Endgeräte

8.2 Privilegierte Zugriffsrechte

8.3 Beschränkung des Informationszugangs

8.4 Zugang zum Quellcode

8.5 Sichere Authentifizierung

8.6 Verwaltung der Kapazitäten

8.7 Schutz vor Malware

8.8 Management von technischen Schwachstellen

8.9 Konfigurationsmanagement

8.10 Löschung von Informationen

8.11 Maskierung von Daten

8.12 Verhinderung von Datenverlusten

8.13 Informationssicherung

8.14 Redundanz von Informationsverarbeitungsanlagen

8.15 Protokollierung

8.16 Überwachung der Aktivitäten

8.17 Synchronisierung der Uhr

8.18 Verwendung von privilegierten Dienstprogrammen

8.19 Installation von Software auf operativen Systemen

8.20 Sicherheit der Netzwerke

8.21 Sicherheit der Netzdienste

8.22 Abtrennung von Netzen

8.23 Web-Filterung

8.24 Einsatz der Kryptographie

8.25 Sicherer Lebenszyklus der Entwicklung

8.26 Anforderungen an die Anwendungssicherheit

8.27 Sichere Systemarchitektur und technische Grundsätze

8.28 Sichere Kodierung

8.29 Sicherheitstests in Entwicklung und Abnahme

8.30 Ausgelagerte Entwicklung

8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

8.32 Veränderungsmanagement

8.33 Informationen zum Test

8.34 Schutz von Informationssystemen während der Prüfung

Änderungen der Version ISO 27002:2022

In der aktuellen Version umfasst die ISO 27002:2022 nur noch vier Kapitel. Trotz der zahlenmäßigen Verringerung ist die Norm nicht kürzer geworden. Einige der Maßnahmen wurden zusammengeführt, so dass im Vergleich zu früheren Versionen der ISO 27002 kein relevanter Inhalt entfällt. Es kamen sogar elf neue Controls hinzu (5.7, 5.23, 5.30, 7.4, 8.9, 8.11, 8.12, 8.16, 8.23, 8.28).

Wirklich neu ist zudem, dass den Controls der ISO 27002 diverse Attribute anbei gestellt wurden. So ist nun beispielsweise schnell erkennbar, welche der Grundziele verfolgt werden (Verfügbarkeit, Integrität, Vertraulichkeit) oder ob die Maßnahme vorbeugend oder korrigierend wirkt sowie welchem Bereich sie zugeordnet ist.

Es werden die folgenden Attribute und Werte vergeben:

  • Kontrolltypen: präventiv, detektiv, korrektiv
  • Eigenschaften der Informationssicherheit: Vertraulichkeit, Integrität, Verfügbarkeit
  • Cybersecurity-Konzepte: identifizieren, schützen, erkennen, reagieren, wiederherstellen
  • Operative Fähigkeiten: Governance, Assetmanagement, Informationsschutz, Personalsicherheit, physische Sicherheit, System- und Netzwerksicherheit, Anwendungssicherheit, sichere Konfiguration, Identitäts- und Zugangsmanagement, Bedrohungs- und Schwachstellenmanagement, Kontinuität, Sicherheit der Lieferantenbeziehungen, Rechtssicherheit und Compliance, Informationssicherheits-Management und Informationssicherheits-Assurance
  • Sicherheitsdomänen: Governance und Ecosystem, Schutz, Verteidigung, Resilienz

Ob diese Attribute in der Praxis Bedeutung entfalten werden, ist allerdings fraglich.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Für die Zertifizierung der Informationssicherheit nach der weltweit anerkannten Norm ISO 27001 bietet die ISO 27002 einen optimalen Rahmen.

Gerne unterstützen wir Sie bei Planung, Steuerung und Umsetzung der für Sie relevanten Maßnahmen aus der ISO 27002.