{"id":6321,"date":"2023-01-09T09:42:55","date_gmt":"2023-01-09T07:42:55","guid":{"rendered":"https:\/\/www.psw-consulting.de\/blog\/?p=6321"},"modified":"2023-01-10T16:37:51","modified_gmt":"2023-01-10T14:37:51","slug":"iso-27002-27001-update-was-ist-neu","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/iso-27002-27001-update-was-ist-neu\/","title":{"rendered":"ISO 27002\/27001 Update \u2013 Was ist neu?"},"content":{"rendered":"<p>Nach neun Jahren wurde die ISO 27002 grundlegend \u00fcberarbeitet und in allen Bereichen aktualisiert. In einem 4-j\u00e4hrigen Projekt von 2018 bis 2022 wurden umfangreiche \u00c4nderungen, sowohl an der Struktur, wie auch beim Inhalt der ISO 27002 vorgenommen. Die ISO 27001 wurde in diesem Zusammenhang k\u00fcrzlich ebenfalls \u00fcberarbeitet und an die neue <strong>Harmonized Structure<\/strong> angepasst. Bisher liegen die beiden Normen nur in englischer Sprache vor. Im nachfolgenden Artikel geben wir Euch einen guten \u00dcberblick \u00fcber die \u00c4nderungen.<\/p>\n<p>&nbsp;<\/p>\n<h3>ISO 27002 \u00c4nderungen: Der inhaltliche Aufbau und die Neustrukturierung der neuen Norm<\/h3>\n<p>Die erste \u00c4nderung, die gleich ins Auge sticht, ist die \u00c4nderung des Titels. Die Anpassung des Titels von fr\u00fcheren Versionen &#8222;Informationstechnik \u2013 Sicherheitsverfahren \u2013 Leitfaden f\u00fcr Informationssicherheitsma\u00dfnahmen&#8220; auf &#8222;Informationssicherheit, Cybersicherheit und Datenschutz \u2013 Informationssicherheitsma\u00dfnahmen&#8220; macht klar, dass ich auch die Schutzziele ver\u00e4ndert haben. Cybersicherheit und Datenschutz erhalten einen gr\u00f6\u00dferen Stellenwert und werden explizit hervorgehoben.<\/p>\n<p>Die wesentlichsten \u00c4nderungen der ISO 27002 erkennt man bereits bei der Betrachtung des Inhaltsverzeichnisses. Aus urspr\u00fcnglich 14 Abschnitten werden <strong>4 Themenbereiche<\/strong>, die grob die Ma\u00dfnahmen nach <strong>personellen<\/strong>, <strong>physischen<\/strong> und <strong>technischen<\/strong> Ma\u00dfnahmen strukturieren. Ma\u00dfnahmen, die keinem dieser Bereiche zugeordnet werden k\u00f6nnen, finden sich im Thema der <strong>organisatorischen<\/strong> Ma\u00dfnahmen.<\/p>\n<p>Dieser Ansatz ist hilfreich, da die bisherigen 14 Abschnitte nicht immer sauber abzugrenzen waren. So gab es Ma\u00dfnahmen der Betriebssicherheit, die sich auch der Anwendungssicherheit zuzuordnen lassen w\u00fcrden. Mit der Neustrukturierung wurde dieses Dilemma bereinigt. Dabei sind die ehemaligen 14 Abschnitte nicht verloren gegangen, sondern finden sich in einem der 5 neuen <strong>Attributs-Typen<\/strong> wieder. Diese sind eine weitere wesentliche, aber durchaus hilfreiche, \u00c4nderung der neuen ISO 27002.<\/p>\n<p>&nbsp;<\/p>\n<h3>Hastags in der neuen ISO-Norm: F\u00fcr mehr \u00dcbersicht in der Informationssicherheit<\/h3>\n<p>Auf den ersten Blick k\u00f6nnte man vermuten, dass die neue Norm einfach nur mit der Zeit gehen m\u00f6chte, da nun auch hier Hashtags f\u00fcr jede Ma\u00dfnahme eingef\u00fchrt wurden. Die verwendeten Attribute sind aber eine wirklich sinnvolle Hilfe, um nicht nur ein angemessenes, sondern auch ein ausgewogenes Sicherheitskonzept zu erreichen und die \u00dcbersichtlichkeit zur verbessern.<\/p>\n<p>So werden sowohl die Art der Ma\u00dfnahme (#Preventive, #Detective, #Corrective), die adressierten Schutzziele (#Confidentiality, #Integrity, #Availability), die operativen F\u00e4higkeiten (#Identify, #Protect, #Detect, #Respond, #Recover), sowie die jeweiligen Sicherheitsdom\u00e4nen (bspw. unter anderem #Governace, #Secure_configuration, oder Supplier_relationship_security) , perfekt zum Abgleich mit den Ausbildungsprogrammen (#Governance_and_Ecosystem, #Protection, #Defence, #Resilience) f\u00fcr den notwendigen Kompetenzaufbau angepasst. Somit ist es relativ einfach nach den entsprechenden neuen Attributen oder auch Hashtags zu suchen und die passende Ma\u00dfnahme betrachten.<\/p>\n<p>&nbsp;<\/p>\n<h3>Der Aspekt Cybersicherheit und Datenschutz in der neuen ISO 27000-Normenfamilie<\/h3>\n<p>Auch das Thema Datenschutz kommt neben der Informationssicherheit st\u00e4rker zum Tragen, sowohl im Titel als auch in den Schutzma\u00dfnahmen. Die Erweiterung der Titel der neuen Normen sowie auch das verst\u00e4rkte Einflie\u00dfen jener Aspekte in die neuen Ma\u00dfnahmenbeschreibungen begr\u00fcndet sich mit der deutlichen Erweiterung der ISO 27000-Normenfamilie der letzten Jahre um Themen der Cybersicherheit und des Datenschutzes.<\/p>\n<p>So sind etliche Normen zu Datenschutz und Cybersicherheit dazu gekommen:<\/p>\n<ul>\n<li>ISO 27701 als Datenschutzmanagementsystem-Aufsatz zur ISO\/IEC 27001,<\/li>\n<li>ISO 2755x-Normen zu verschiedenen Themen des Datenschutzes, bspw. die ISO 27555 als internationale Variante der DIN 66398 f\u00fcr L\u00f6schkonzepte,<\/li>\n<li>zur Cybersicherheit im Bereich der ISO 271xx-Normen, insbesondere die ISO 27110, welche ein Cybersicherheits-Rahmenwerk beschreibt, mit jenen Stufen, die auch durch das entsprechende Attribut der neuen ISO 27002-Ma\u00dfnahmen adressiert werden.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3>ISO 27001 Ma\u00dfnahmen mit mehr Praxisn\u00e4he<\/h3>\n<p>Insgesamt sind die neuen Ma\u00dfnahmen praxisn\u00e4her geworden und in der Beschreibung detaillierter. Sie adressieren die neuen Aspekte Datenschutz und Informationssicherheit verst\u00e4rkt, und sind vor allem auch zusammengefasst worden, wo zuvor die einzelnen Ma\u00dfnahmen f\u00fcr sich alleinstehend wenig Sinn ergeben haben. So wurden 114 Ma\u00dfnahmen zu 93 in den neuen Versionen zusammengefasst, wobei hier bereits 11 neue Ma\u00dfnahmen enthalten sind. Die Struktur der Ziele, zu denen es potenziell mehrere Ma\u00dfnahmen gab, hat man aufgegeben. Jede Ma\u00dfnahme hat nun einen eigenen Zweck. Somit lie\u00df sich auch der Aufbau der Norm realisieren und durch Attribute oder Hashtags neu strukturieren.<\/p>\n<p>&nbsp;<\/p>\n<h3>Einfluss der Normenwelt auf die neue ISO 27002 und ISO 27001<\/h3>\n<p>Inhaltlich erkennt die ISO auch weitere Quellen, als nur die eigene Normenwelt an. Es flie\u00dfen auch Inputs vom\/von ISF, ITIL, NIST, OWASP und OASIS in die neuen Ma\u00dfnahmenbeschreibungen mit ein. Zu den neuen Ma\u00dfnahmen geh\u00f6ren neben Themen, die die meisten Organisationen bereits unter anderem Titel adressiert haben d\u00fcrften, auch ein paar neue Herausforderungen, wie die Bedrohungsanalyse und die DLP (Data Loss Prevention). Aber auch l\u00e4ngst \u00fcberf\u00e4llige Ma\u00dfnahmen des Datenschutzes d\u00fcrften sp\u00e4testens jetzt bei manchen Organisationen erneut f\u00fcr Kopfzerbrechen sorgen, so bspw. ein geeignetes L\u00f6schkonzept und die Pseudonymisierung\/Anonymisierung von Daten.<\/p>\n<p>Die ISO 27001 hat mit der Ver\u00f6ffentlichung vom 25.10.2022 insbesondere die neuen Ma\u00dfnahmen der ISO 27002 \u00fcbernommen. Auff\u00e4llig ist dabei, dass sowohl der Zweck, als auch die Attributstabelle (bisher) nicht \u00fcbernommen wurden. Trotz alledem wird sich in der zuk\u00fcnftigen Auditpraxis zeigen. Wie weit die Zertifizierungsstellen auf diese neuen Punkte der ISO 27002 Bezug nehmen werden, wird sich noch zeigen. Bspw. unter dem Gesichtspunkt eines ausgewogenen Sicherheitskonzepts oder der korrekten Adressierung von Risiken durch geeignete Ma\u00dfnahmen basierend auf den zugrunde liegenden Schutzzielen. Ansonsten sind die \u00c4nderungen der ISO 27001 marginal. Die neue Harmonized Structure umfasst prim\u00e4r kosmetische \u00c4nderungen, wie geringf\u00fcgige Umformulierungen, ver\u00e4nderte Darstellungen des Inhalts sowie einen Swap der Behandlung von Nichtkonformit\u00e4ten und der Realisierung von Verbesserungsm\u00f6glichkeiten.<\/p>\n<p>&nbsp;<\/p>\n<h3>ISO 27002\/27001 Update \u2013 Das sollten Unternehmen ber\u00fccksichtigen<\/h3>\n<p>Das <a href=\"https:\/\/iaf.nu\/\">International Accreditation Forum<\/a> (kurz: IAF) hat sich zwischenzeitlich auch zu den \u00dcbergangsfristen zur Umstellung auf die neue ISO 27001 ge\u00e4u\u00dfert.<\/p>\n<p>Die wesentliche \u00c4nderung ist das explizite Erfassen von Anforderungen der Stakeholder mit Auswirkungen auf das ISMS, sowie dem geplanten Vorgehen bei den \u00c4nderungen. Die IAF nennt als Fristen f\u00fcr die Umstellung auf die neue ISO 27001:2022<strong> 3 Jahre <\/strong>ab dem letzten Tag des Monats der Ver\u00f6ffentlichung der neuen ISO 27001, das w\u00e4re also der <strong>31.10.2025<\/strong>.<\/p>\n<p>Sukzessive werden nun auch alle weiteren Normen, die sich an der ISO 27001, sowie an die ISO 27002 ausrichten, aktualisiert. Dies sind insbesondere die Umsetzungsleitf\u00e4den der ISO 27001, wie auch die branchen- und ma\u00dfnahmenspezifischen Leitf\u00e4den der ISO 27002. Bereits zeitgleich mit der neuen ISO 27001 wurde auch die Norm ISO 27005 zum Kernelement, dem Risikomanagement, aktualisiert.<\/p>\n<p>Auch die Pr\u00fcfinstitute m\u00fcssen nun erst Ihre Auditprozesse auf den neuen Standard anpassen. Es wird damit gerechnet, dass also noch ca. 12 Monate Erst- sowie Rezertifizierungen noch nach der alten Norm erfolgen k\u00f6nnen.<\/p>\n<p>&nbsp;<\/p>\n<h3>Fazit zum neuen Update in der ISO 27000-Normenwelt<\/h3>\n<p>Alles in allem ist derzeit viel Bewegung in der ISO 27000-Normenwelt, insbesondere das Thema <strong>Praxisn\u00e4he<\/strong> ist ein besonderer Schwerpunkt. In Zeiten der Zunahme von Attacken auf Organisationen bietet der Blickwinkel Cybersicherheit f\u00fcr manch ein Unternehmen einen echten Mehrwert, welche bisher nur die Compliance auf dem Schirm und das Thema ISMS (Informationssicherheits-Managementsystem) eher als Last empfunden hatten.<\/p>\n<p>Es bleibt abzuwarten, in welche Richtung sich die Normen weiterbewegen, wenngleich zun\u00e4chst etliche Normen erst einmal an die neuen Strukturen angeglichen werden, bevor mit neuen Aktualisierungen zu rechnen ist. Auch bleibt abzuwarten, wie nun andere Standards, die sich an der ISO 27000er-Normenfamilie orientieren, auf die Ver\u00e4nderungen reagieren. Dies sind unter anderem <strong>VDA-ISA<\/strong> bzw. das <strong>TISAX<\/strong>-Labelprogramm, wie auch der <strong>BSI IT Grundschutz<\/strong> und <strong>(C)ISIS12<\/strong>.<\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><strong>Ihr habt Interesse an einer Schulung oder Weiterbildung oder ben\u00f6tigt Unterst\u00fctzung in diesem Bereich?<\/strong><\/p>\n<p>Besucht doch mal unserer <a href=\"https:\/\/www.psw-training.de\/\">PSW TRAINING<\/a>. Die PSW TRAINING ist, der Teil der PSW GROUP GmbH &amp; Co. KG, der sich f\u00fcr kompakte und praxisnahe Weiterbildung in den Bereichen Informationssicherheit, IT-Servicemanagement sowie dem agilen Projektmanagement spezialisiert hat.<\/p>\n<p>Dort findet Ihr u.a. Weiterbildungen nach dem aktuellsten Stand f\u00fcr<\/p>\n<ul>\n<li><a href=\"https:\/\/www.psw-training.de\/iso27001\">ISO\/IEC 27001<\/a> \u2013 Foundation, Officer oder einen Kombi-Kurs, bestehend aus Foundation und Officer f\u00fcr den perfekten Einstieg in die ISO Welt,<\/li>\n<li><a href=\"https:\/\/www.psw-training.de\/iso19011\">ISO\/IEC 19011<\/a> \u2013 Auditor f\u00fcr Managementsystemen (auch ISO 27001),<\/li>\n<li>und vielen weiteren interessanten Weiterbildungsangebote.<\/li>\n<\/ul>\n<p>Ansonsten stehen wir von der PSW GROUP Consulting gerne <strong>beratend<\/strong> an Eurer Seite.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Nach neun Jahren wurde die ISO 27002 grundlegend \u00fcberarbeitet und in allen Bereichen aktualisiert. In einem 4-j\u00e4hrigen Projekt von 2018 bis 2022 wurden umfangreiche \u00c4nderungen, sowohl an der Struktur, wie auch beim Inhalt der ISO 27002 vorgenommen. Die ISO 27001 wurde in diesem Zusammenhang k\u00fcrzlich ebenfalls \u00fcberarbeitet und an die neue Harmonized Structure angepasst. Bisher &hellip; <\/p>\n<p class=\"read-more\"><a class=\"btn btn-default\" href=\"https:\/\/www.psw-consulting.de\/blog\/iso-27002-27001-update-was-ist-neu\/\"> Mehr Lesen<span class=\"screen-reader-text\">  Mehr Lesen<\/span><\/a><\/p>\n","protected":false},"author":11,"featured_media":6323,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[185,184,186,187,188,183,152,182],"class_list":["post-6321","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-informationssicherheit","tag-iso","tag-iso-27000","tag-iso-27001","tag-iso-270012022","tag-iso-27002-27001-update","tag-tisax","tag-update","tag-vda-isa"],"_links":{"self":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6321","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/comments?post=6321"}],"version-history":[{"count":12,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6321\/revisions"}],"predecessor-version":[{"id":6341,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6321\/revisions\/6341"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media\/6323"}],"wp:attachment":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media?parent=6321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/categories?post=6321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/tags?post=6321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}