ISO 27002

Die Norm ISO 27002 ergänzt die Norm ISO 27001 um Maßnahmen zur Steigerung der Informationssicherheit. Wir erklären Ihnen Inhalte und Bedeutung der Norm in ihrer aktuellen Version ISO/IEC 27002:2022.

Was ist die ISO 27002?

Die Norm ISO 27002 befasst sich in diversen Kapiteln mit Maßnahmen (Controls), deren Umsetzung geeignet ist, das jeweils verfolgte Sicherheitsziel zu unterstützen. Die Norm ist für eine Zertifizierung nicht normativ (verpflichtend), stellt also nur eine mögliche Interpretation der normativen Anlage A der ISO 27001:2022 dar. Ähnlich wie bei der ISO 27001 macht auch die ISO 27002 keine konkreten Vorgaben. Wer also etwa Anweisungen zu den korrekten Einstellungen einer Software o.ä. sucht oder wissen will, wie nun ein sicheres Passwort genau aussieht, ist hier falsch. Die Norm richtet sich vielmehr an einen grundsätzlich fachkundigen Anwender und gibt diesem bestimmte Anhaltspunkte:
  • Welche Rahmenumstände sind hinsichtlich eines bestimmten Ziels relevant?
  • Was für Gefahren bestehen?
  • Welche Faktoren sind bei der Einschätzung eines bestimmten Risikos zu betrachten?
  • Auf welche Gesichtspunkte sollte eine Regelung eingehen, damit der definierte Prozess am Ende auch wirksam ist?
Die Norm ISO 27002 gibt ihre Hinweise stark komprimiert. Der Text enthält kaum überflüssige Worte. Es erfordert damit bereits eine gewisse Fachkunde, um die ISO 27002 richtig lesen und verstehen zu können. Ergänzend muss dem Anwender im Grunde bekannt sein, wie sich die aufgeworfenen Probleme prozessual und technisch lösen lassen. Im Ergebnis hilft die Norm dem Spezialisten, bei seiner Arbeit nichts zu übersehen.

Aufbau der ISO 27002

Die Norm ISO 27002:2022 befasst sich in ihrer aktuellen Version in vier Kapiteln mit 93 Maßnahmen (Controls). Die Struktur der Norm sieht aktuell folgendermaßen aus:

Kapitel 5 - Organisatorische Maßnahmen

Kapitel 6 - Personal-Maßnahmen

Kapitel 7 - Physische Maßnahmen

Änderungen der Version ISO 27002:2022

In der aktuellen Version umfasst die ISO 27002:2022 nur noch vier Kapitel. Trotz der zahlenmäßigen Verringerung ist die Norm nicht kürzer geworden. Einige der Maßnahmen wurden zusammengeführt, so dass im Vergleich zu früheren Versionen der ISO 27002 kein relevanter Inhalt entfällt. Es kamen sogar elf neue Controls hinzu (5.7, 5.23, 5.30, 7.4, 8.9, 8.11, 8.12, 8.16, 8.23, 8.28). Wirklich neu ist zudem, dass den Controls der ISO 27002 diverse Attribute anbei gestellt wurden. So ist nun beispielsweise schnell erkennbar, welche der Grundziele verfolgt werden (Verfügbarkeit, Integrität, Vertraulichkeit) oder ob die Maßnahme vorbeugend oder korrigierend wirkt sowie welchem Bereich sie zugeordnet ist. Es werden die folgenden Attribute und Werte vergeben:
  • Kontrolltypen: präventiv, detektiv, korrektiv
  • Eigenschaften der Informationssicherheit: Vertraulichkeit, Integrität, Verfügbarkeit
  • Cybersecurity-Konzepte: identifizieren, schützen, erkennen, reagieren, wiederherstellen
  • Operative Fähigkeiten: Governance, Assetmanagement, Informationsschutz, Personalsicherheit, physische Sicherheit, System- und Netzwerksicherheit, Anwendungssicherheit, sichere Konfiguration, Identitäts- und Zugangsmanagement, Bedrohungs- und Schwachstellenmanagement, Kontinuität, Sicherheit der Lieferantenbeziehungen, Rechtssicherheit und Compliance, Informationssicherheits-Management und Informationssicherheits-Assurance
  • Sicherheitsdomänen: Governance und Ecosystem, Schutz, Verteidigung, Resilienz
Ob diese Attribute in der Praxis Bedeutung entfalten werden, ist allerdings fraglich.

ISO 27001

Die ISO 27001 ist die weltweit führende Norm zur Informationssicherheit.

B3S Medizinische Versorgung

Der Branchenspezifische Sicherheitsstandard (B3S) Medizinische Versorgung für Krankenhäuser

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.