Zusammenfassung
Was ist Neu in der ISO 27002:2022
In der überarbeiteten Version sind die Kontrollen durch 4 Themen organisiert: 37 organisatorische, 8 personenbezogene, 14 physische und 34 technologische Kontrollen. Jede Kontrolle hat nun neben dem Kontrolltext, der Anleitung und zusätzlichen Informationen einen individuellen Zweck. Einige der Anleitungen wurden mit Unterüberschriften strukturiert, die als Hinweise auf spezifische Inhalte dienen. Attribute wurden jeder Kontrolle hinzugefügt.
Diese vereinfachte Struktur hat es ermöglicht, Kontrollen zusammenzuführen und Redundanzen zu reduzieren. Neue Begriffe und Definitionen, die als notwendig erachtet werden, um das Dokument zu verstehen, wurden zu Klausel 3 hinzugefügt. Zwei neue Anhänge wurden hinzugefügt: Anhang A in Bezug auf die Verwendung von Attributen und Anhang B für die Entsprechung der Kontrollen zwischen dieser Ausgabe und der vorherigen und umgekehrt.
Attribute
Fünf Attribute wurden jeder Kontrolle hinzugefügt, um verschiedene Ansichten oder Kategorisierungen von Kontrollen zu ermöglichen. Organisationen können ihre eigenen Attribute und zugehörigen Werte definieren, um Ansichten zu erstellen, die ihren Zwecken entsprechen. Der Mehrwert, der durch diese neuen Attribute geboten wird, ist, dass sie den Standard flexibler machen, so dass Organisationen ihre eigenen Ansichten erstellen können, um die Kontrollen für verschiedene Zielgruppen, Perspektiven und Bedürfnisse zu präsentieren, zu filtern oder zu sortieren.
Sie könnten auch verwendet werden, um den Nachweis der Einhaltung von IS-Anforderungen, Gesetzen, Vorschriften und Rahmenwerken durch die Verwendung der Kontrollen und Anleitungen, die in ISO/IEC 27002 enthalten sind, zu erleichtern.
Aktualisierte Anleitungen und neue Kontrollen
Die Anleitungen in allen Kontrollen wurden auf den aktuellen internationalen Best Practice-Stand gemäß dem Stand der Technik aktualisiert. 11 neue Kontrollen wurden hinzugefügt und 24 der aktuellen Kontrollen sind aus der Zusammenlegung von zuvor bestehenden Kontrollen entstanden, für die die Anleitungen ebenfalls aktualisiert und Redundanzen beseitigt wurden.
Annex A ISO 27002:2022
In Anhang Annex A der ISO 27002:2022 werden die neuen Attribute für jede Maßnahme beschrieben. Die Attribute sind in der Tabelle in der Spalte “Attribute” aufgeführt die folgende Spalten enthält:
Hier ist ein Beispiel für eine Maßnahme mit den neuen Attributen:
| Maßnahme | Attribute |
|---|---|
| Zugriffskontrolle | Kontrolltyp: T |
| Eigenschaft der Informationssicherheit: CIA | |
| Cybersicherheitskonzepte: D | |
| Operative Fähigkeiten: M | |
| Erweiterbarkeit: X | |
Diese Kennzeichnung zeigt an, dass die Maßnahme eine technische Maßnahme ist, die die Eigenschaften Vertraulichkeit, Integrität und Verfügbarkeit schützt. Die Maßnahme unterstützt das Cybersicherheitskonzept Datensicherheit und erfordert mittlere operative Fähigkeiten. Die Maßnahme ist erweiterbar und kann an neue Anforderungen angepasst werden.
Diese Tabelle ist ein hilfreiches Tool, um die neuen Attribute ISO 27002 zu verstehen und zu bewerten. Sie kann Unternehmen dabei helfen, die für sie relevanten Maßnahmen zu identifizieren und zu priorisieren.
Wenn Sie in Anhang Annex A der ISO 27002:2022 nur die Maßnahmen (controlls) aufgeführt sehen, dann haben Sie wahrscheinlich eine ältere Version der Norm. Die ältere Version 2013 hat keine Kennzeichnung mit den “neuen Attributen.
Kennzeichnung Attribute ISO 27002
Kontrolltyp:
O: Organisatorische Maßnahme
P: Personenbezogene Maßnahme
P: Physische Maßnahme
T: Technische Maßnahme
Eigenschaft der Informationssicherheit:
C: Vertraulichkeit
I: Integrität
A: Verfügbarkeit
Cybersicherheitskonzepte:
D: Datensicherheit
S: Systemsicherheit
N: Netzwerksicherheit
O: Organisatorische Sicherheit
Operative Fähigkeiten:
L: Gering
M: Mittel
H: Hoch
Erweiterbarkeit:
X: Ja
N: Nein
