Die neue ISO/IEC 27002:2021

Anlässlich des SEC4YOU Anwendertreffens im Juni 2021 haben wir den aktuellen Draft die neue ISO/IEC 27002:2021 vorgestellt.

Die neue ISO 27002:2021 ist eine Erweiterung der in die Jahre gekommene ISO 27002:2013 (+Korrekturen aus 2014 und 2015) und ergänzt diese um folgende Kontrollziele:

Threat intelligence
Information security for use of cloud services
ICT Readiness for Business Continuity
Physical security monitoring
Configuration managemet
Information deletion
Data masking
Data leakage prevention
Monitoring activities
Web filtering
Secure coding

Die Struktur und der Inhalt

Die Struktur wurde wesentlich geändert und umfasst nun die folgenden Bereiche:

5. Organisatorische Kontrollen
6. Personelle Kontrollen
7. Physische Kontrollen
8. Technologische Kontrollen

Aus den 114 Kontrollzielen der 27002:2013 sind rd. 93 Kontrollziele in der ISO 27002:2021 geworden.

Obwohl der Begriff „Cybersecurity“ im Titel der Norm steht, gibt es kein einziges Kontrollziel, das sich speziell mit Cybersecurity Gefahren beschäftigt. Aber natürlich unterstützen die InfoSec Maßnahmen die Resilienz gegen Cyberangriffe.

Das Thema Datenschutz wird auf einer ¾ Seite abgehandelt, somit bietet die Norm keine umfassenden Empfehlungen für den Datenschutz.

Im hinteren Bereich der Norm gibt es eine einfach anzuwendende Mapping-Tabelle, über die alle Kontrollen der 27002:2013 effizient auf die neue Nummerierung der ISO/IEC 27002:2021 überführt werden können. Das hilft bestehende Richtlinien neu zu strukturieren und schnell deren Vollständigkeit zu erkennen.

Wissenswertes zur Norm

Die ISO 27001:2013 wird derzeit an die Struktur der ISO 27002:2021 angepasst, wobei die Ende 2021 bzw. Anfang 2022 abgeschlossen werden sollten. Ab Gültigkeit der Überarbeitung besteht eine Übergangszeit von einem Jahr in der die alte Struktur noch für eine Zertifizierung herangezogen werden kann.
Unternehmen, die sich ab 2022 zertifizieren wollen, empfehlen wir, ihr ISMS bereits nach der neuen Struktur zu erstellen und mit dem 27002:2013 zu 27002:2021 Mapping in Anhang B der Norm zu arbeiten.
Unternehmen mit bestehender 27001 Zertifizierung müssen voraussichtlich erst nach 3 Jahren auf die neue Struktur umstellen. Auf jeden Fall sollten sich aber alle Unternehmen an den neuen Kontrollzielen orientieren und diese implementieren.
Wann kann man die Norm kaufen? Voraussichtlich ab Ende 2021.

Fragen?

Gerne stehen wir über unser Kontaktformular und auch telefonisch zur Verfügung.

Passende Produkte aus unserem Shop

Von Andreas Schuster|2022-11-14T08:49:26+01:0006.07.2021|ISMS Tools|

Über den Autor: Andreas Schuster

Als Experte für Informationssicherheit / Informationssicherheits-Managementsysteme (ISMS), IT-Sicherheit, Authentifizierung, sowie PKI und Verschlüsselung verfügt er über mehr als 20 Jahre technische Erfahrung in Serverinfrastruktur sowie Unternehmensnetzwerkarchitektur. Seine ausgezeichneten Kenntnisse in ISO 27001 und ISA 6 / TISAX ermöglichen es ihm, Kunden in NIS2 Umsetzungen und bei InfoSec Zertifizierungsprozessen effektiv zu unterstützen. Zudem ist er hervorragend mit europäischen Zertifizierungsstellen vernetzt.

Die neue ISO/IEC 27002:2021