Österreich
Secure Your Business
 

ISO 27002 ist in Überarbeitung

Nachfolgenorm der ISO 27002:2013 für 2021 geplant

 

freepik_computer motherboard with dolls_c_chevanon


Die ISO/IEC 27002 „IT-Sicherheitsverfahren – Leitfaden für das Informationssicherheits-Management“ ist ein internationaler Standard, der Vorschläge und Best Practices für

Sicherheitskontrollen beinhält.

Die Norm umfasst 114 Sicherheitsmaßnahmen, sogenannte Controls, welche in der heutigen

Version in 11 Kapiteln – sogenannten Überwachungsbereichen – kategorisiert sind.

 

Als Teil der ISO 27000-Familie ist die

ISO 27002 eine Vertiefung des Annex A der ISO 27001. Sie gibt Unternehmen und Organisationen jeglicher Größe und Art eine Implementierungshilfe

für Maßnahmen zur Reduktion von Risiken im Rahmen eines Risikomanagements, welches die

ISO 27001 im Zuge eines wirksamen ISMS fordert.

 

 

Alle Normen werden regelmäßig überarbeitet, um die Standards relevant und auf dem neuesten Stand zu halten. Aktuell befindet sich die ISO 27002 in Revision, die 12-wöchige Eingabefrist für Kommentare reicht bis Ende April 2021.


Die CIS ist als akkreditierte Zertifizierungsorganisation im Bereich Informationssicherheit in diversen Arbeitsgruppen vertreten und arbeitet somit aktiv an der Revision mit.

 

Welche Änderungen uns erwarten

 

KV_2019a


CIS-Geschäftsführer Klaus Veselko über die bevorstehende Revision:

„Derzeit liegt uns ein fortgeschrittener Arbeitsentwurf vor, welcher im Umfang gegenüber der Vorgängerversion mit rund 90 Seiten auf nunmehr 157 Seiten angewachsen ist. Nach aktuellem Stand rechnen wir darüber hinaus mit

einigen wesentlichen, strukturellen Änderungen.“


Unter anderem sollen die Sicherheitsmaßnahmen reduziert und Redundanzen eliminiert werden. Zukünftig werden die nunmehr 93 Controls in vier Themen (organisatorische, personelle, physische und technologische Controls) kategorisiert und in Kapiteln zusammengefasst werden. „Das soll für mehr Praxisorientierung und Verständlichkeit in der Anwendung sorgen.“ so Veselko weiter.

 


Darüber hinaus wird jedes einzelne Control mit Attributen versehen. Das soll es für Unternehmen erleichtern, die Controls nach Zweck bzw. Eigenschaften zu gruppieren und unterschiedliche Sichtweisen auf die Sicherheitsmaßnahmen darzustellen. Diese Attribute sind neben den Informationssicherheits-Grundsätzen („Confidentiality“, „Integrity“ und „Availability“) zum Beispiel die Control-Typen („Preventive“, „Detective“ oder „Corrective“) und auch die Cybersecurity-Konzepte („Identify“, „Protect“, Detect“, „Respond“ und „Recover“).


Nach einer internationalen Abstimmung innerhalb der ISO-Normungsgremien können weitere Überarbeitungen vorgenommen werden. Das endgültige Dokument soll noch im Laufe des Jahres veröffentlicht werden.

 


Selbstverständlich informieren wir Sie erneut, sobald es konkrete Informationen gibt und die ISO 27002:2021 veröffentlicht wurde. Bei Rückfragen stehen wir Ihnen
hier jederzeit gerne zur Verfügung.


 

Crello_CIS Umfrage_300x200px WEB  

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB