Was können wir von der neuen Überarbeitung der ISO/IEC 27001 und ISO/IEC 27002 erwarten

Am 25. Oktober 2022 wurde die neue Version der ISO/IEC 27001:2022 veröffentlicht! (die aktuelle Version wurde 2013 veröffentlicht). Organisationen, die sich auf einen systematischen Ansatz für das Informationssicherheitsmanagement konzentrieren, werden diese Nachricht bereits registriert haben.

Derzeit läuft der Überarbeitungsprozess für ISO/IEC 27001 und ISO/IEC 27002 (die aktuelle Version wurde 2013 veröffentlicht). Organisationen, die einen systematischen Ansatz zur Verwaltung der Informationssicherheit verfolgen, haben diese Neuigkeit sicherlich bereits registriert.

ISO/IEC 27002 wird erneut entwickelt, um einen Rahmen für das Management der Informationssicherheit bereitzustellen (ähnlich wie beispielsweise das NIST CSF). 

Die Hauptänderungen, die die neue Version bringt, beinhalten die Zusammenführung von Maßnahmen in 4 Gruppen:

1. Organisatorische Maßnahmen

2. Personalmaßnahmen

3. Physische Maßnahmen

4. Technische Maßnahmen
 

Neue Anforderungen werden auch in mehreren Bereichen erwartet, für die Management und Maßnahmen erforderlich sein werden (sofern sie in der Organisation anwendbar sind), zum Beispiel:

Bedrohungsmanagement (Maßnahme: Informationen im Zusammenhang mit Informationssicherheitsbedrohungen sollten gesammelt und analysiert werden, um einen Bedrohungsbericht zu erstellen.)

Informationssicherheit bei der Nutzung von Cloud-Diensten (Maßnahme: Prozesse zur Beschaffung, Nutzung, Verwaltung und Beendigung von Cloud-Diensten sollten gemäß den Anforderungen der Organisation an Informationssicherheit entwickelt werden.)

ICT-Notfallbereitschaft (Maßnahme: Die ICT-Notfallbereitschaft sollte gemäß den Geschäftskontinuitätszielen und den ICT-Notfallanforderungen geplant, implementiert, aufrechterhalten und getestet werden.)

Überwachung der physischen Sicherheit (Maßnahme: Räumlichkeiten sollten kontinuierlich überwacht werden, um unbefugten physischen Zugriff zu verhindern.)

Konfigurationsmanagement (Maßnahme: Konfigurationen, einschließlich Sicherheitskonfigurationen, Hardware, Software, Dienste und Netzwerke, sollten erstellt, dokumentiert, implementiert, überwacht und überprüft werden.)

Datenlöschung (Maßnahme: Informationen, die in Informationssystemen und -geräten gespeichert sind und nicht mehr benötigt werden, sollten gelöscht werden.)

Datenmaskierung (Maßnahme: Datenmaskierung sollte gemäß der organisationspolitik zur Zugriffssteuerung und geschäftlichen Anforderungen unter Berücksichtigung der gesetzlichen Anforderungen angewendet werden.)

Datenleckschutz (Maßnahme: Systeme, Netzwerke und Endgeräte, die sensible Informationen verarbeiten, speichern oder übertragen, sollten Maßnahmen zur Verhinderung von Datenlecks anwenden.)

Überwachungsaktivitäten (Maßnahme: Netzwerke, Systeme und Anwendungen sollten auf ungewöhnliches Verhalten überwacht werden, und es sollten angemessene Maßnahmen zur Bewertung potenzieller Informationssicherheitsvorfälle ergriffen werden.)

Webfilterung (Maßnahme: Der Zugriff auf externe Websites sollte gesteuert werden, um die Exposition gegenüber schädlichen Inhalten zu verringern.)

Sichere Codierung (Maßnahme: Softwareentwicklung sollte Sicherheitsrichtlinien zur sicheren Codierung umfassen.)

Sie können die neue Version von ISO/IEC 27001:2022 derzeit unter iso.org erwerben.

Anschließend beginnt die Übergangsphase. Während dieser Phase wird, sofern Ihre Organisation ein zertifiziertes Informationssicherheitssystem hat, die Implementierung neuer Anforderungen erforderlich sein.

der Autor: Martin Kašša, Wirtschaftsprüfer ISO/IEC 27001

(Verwendete Quellen: ISO/IEC DIS 27002 Information security, cybersecurity and privacy protection — Information security controls)