Startseite
Hier finden Sie einen Überblick über alle unsere Angebote und Dienstleistungen

Startseite
Hier finden Sie einen Überblick über alle unsere Angebote und Dienstleistungen
Branchen
Ob Branchenspezifisch oder Branchenübergreifend: Unsere IT-Sicherheitslösungen für viele Einsatzgebiete
- Gesundheitswesen
- Industrie, Versorger & Mobilität
- Grenze, Polizei & Sicherheit
- Behörden, Verwaltungen & Ministerien
- Verteidigung & Raumfahrt
- Cloud Solutions
Branchen
Ob Branchenspezifisch oder Branchenübergreifend: Unsere IT-Sicherheitslösungen für viele Einsatzgebiete
- Gesundheitswesen
- Industrie, Versorger & Mobilität
- Grenze, Polizei & Sicherheit
- Behörden, Verwaltungen & Ministerien
- Verteidigung & Raumfahrt
- Cloud Solutions
Produkte & Beratung
Um Ihre digitalen Infrastrukturen sicher und individuell zu stärken, reicht unser Portfolio von spezifischen Produkten hin zu allgemeinen Beratungsleistungen

Produkte & Beratung
Um Ihre digitalen Infrastrukturen sicher und individuell zu stärken, reicht unser Portfolio von spezifischen Produkten hin zu allgemeinen Beratungsleistungen
Projekte
Eine Übersicht über die Projekte, die wir bereits erfolgreich mit unseren Kunden umsetzen konnten

Projekte
Eine Übersicht über die Projekte, die wir bereits erfolgreich mit unseren Kunden umsetzen konnten
Karriere
Wir suchen engagierte Kolleg*innen für Software Development, Consulting, Sales, Produktmanagement und Verwaltung in allen Phasen ihres Werdegangs

Karriere
Wir suchen engagierte Kolleg*innen für Software Development, Consulting, Sales, Produktmanagement und Verwaltung in allen Phasen ihres Werdegangs
Über uns
Deutschlands führendes Cybersecurity-Unternehmen für höchste Sicherheitsstandards in Digitalisierungsprojekten
- Unternehmen
- News & Events
- Investoren
- Presse
Über uns
Deutschlands führendes Cybersecurity-Unternehmen für höchste Sicherheitsstandards in Digitalisierungsprojekten
- Unternehmen
- News & Events
- Investoren
- Presse
Kontakt
Kontaktieren Sie uns, damit wir gemeinsam effiziente Sicherheitskonzepte erarbeiten können

Kontakt
Kontaktieren Sie uns, damit wir gemeinsam effiziente Sicherheitskonzepte erarbeiten können

Die neue ISO/IEC 27002

und Auswirkungen auf die ISO/IEC 27001

Die neue ISO/IEC 27002 und Auswirkungen auf die ISO/IEC 27001

Ein angemessenes „Informationssicherheitsniveau“ zeichnet sich durch einen Prozess aus, der Sorge tragen muss, dass Informationssicherheitsrisiken kontinuierlich bewertet und angemessen behandelt werden. Um dieses Ziel zu erreichen, implementieren viele Organisationen ein Informationssicherheitsmanagementsystem (ISMS).

Die internationale Norm ISO/IEC 27001 stellt die Grundlage für ein solches System dar. Der Standard definiert im Normrahmen die Anforderungen an das Managementsystem. Im „Annex A“ sind die spezifischen Ziele bzw. Kontrollen im Bereich der Informationssicherheit in Kurzform aufgelistet. Die Norm ISO/IEC 27002 ist eine Orientierungshilfe und gibt Hinweise, wie die Ziele erreicht werden können.

Dieser Standard wurde in den vergangenen Jahren umfassend überarbeitet und liegt seit kurzem in der Version ISO/IEC 27002:2022 vor.

Die augenscheinlichste Änderung betrifft die Struktur der Kontrollen (controls), diese wurden in neuen Gruppen organisiert, den sogenannten „Clauses“, und mit einer simplen Taxonomie inklusive zugehöriger Attribute versehen. Dazu wurden die Inhalte selbst stark modernisiert.

Die Änderung im Detail:

Neue Grundstruktur – 14 Clauses zu 4 Clauses restrukturiert
- Kapitel 5, Clause „Organizational controls“ (Rollen und Verantwortlichkeiten, Berechtigungsmanagement, Umgang mit Informationen, etc.)
- Kapitel 6, Clause „People controls“ (Personalprozesse – Einstieg, Stellenwechsel, Ausstieg; Sensibilisierung und Schulung, etc.)
- Kapitel 7, Clause „Physical controls“ (Perimeter- und Objektschutz, Umgang mit Betriebsmitteln, etc.)
- Kapitel 8, Clause „Technological controls“ (Absicherung von Endgeräten, Zugriffssteuerung, IT-Betrieb, Logging und Monitoring, Netzwerksegmentierung, etc.)

Neue Controls - 11 Controls wurden neu aufgenommen, z. B.:
- Threat intelligence (Identifikation und Umgang mit Bedrohungen)
- Information security for use of cloud services (Sicherheit von Cloud-Services)
- Physical security monitoring (Überwachung der Sicherheit physischer Perimeter und Infrastrukturen)
- Data leakage prevention (Vermeidung von Datenabfluss)
- Monitoring activities (Überwachung und Anomalieerkennung in Netzwerken)
- Secure coding (Anforderungen an die sichere Software-Entwicklung)
Zusammenfassung von Controls – 56 Controls wurden zu 24 zusammengefasst, z. B.: 12.4.1 Event logging, 12.4.2 Protection of log information, 12.4.3 Administrator and operator logs zu 8.15 Logging
Neue Taxonomie und Attribute zu jedem Control; der neue Standard gibt Hilfestellung zur Einordnung der Controls zu berührten Schutzzielen (Vertraulichkeit, Integrität, Verfügbarkeit) und ordnet die Controls in Bezug auf deren Wirkungsform ein (vorbeugend, erkennend, korrigierend)

Die Änderungen in der Norm ISO/IEC 27002:2022 wirken sich in vielfältiger Weise aus. So wird aktuell auch die Zertifizierungsnorm ISO/IEC 27001 angepasst, um die Änderung widerzuspiegeln.

In Kürze sollen auch die Arbeiten zur Anpassung der ISO/IEC 27019 beginnen, da diese ebenfalls auf die ISO/IEC 27002 referenziert und ergänzende branchenspezifische Anforderungen einbringt. Es ist davon auszugehen, dass es frühestens in der zweiten Jahreshälfte 2023 zu einer Neuveröffentlichung kommt.

Eine Vielzahl weiterer Unterlagen und Hilfsmittel enthält Verweise auf die „alte“ Norm, diese sollten auch angepasst werden. Das betrifft z. B. einige branchenspezifische Sicherheitsstandards (B3S) oder das Whitepaper des BDEW.

Natürlich sind die Managementsysteme der zertifizierten Unternehmen selbst auf die jeweils gültigen Fassungen zu adaptieren. Mit der Veröffentlichung der neuen Norm gilt die Vorgängerversion als zurückgezogen. Eine Übergangsfrist ermöglicht den Betreibern bzw. anderen Organisationen eine reibungslose Umstellung. Die neuen technischen und organisatorischen Themen sind im Risikomanagement zu berücksichtigen, die Auditplanung der Unternehmen ist anzupassen. Die Auditoren selbst werden die Audits anders planen und die neuen Aspekte in den Fokus nehmen.

secunet unterstützt bei der Migration auf die neue Norm und bei der Umsetzung der neuen bzw. geänderten Anforderungen. Wir ermitteln mit Ihnen zusammen den Anpassungsbedarf und beraten Sie bei der angemessenen Umsetzung.