Neue ISO 27002:2022

Was bedeutet das für den CyberManager und ISO 27001?

Seit Februar letzten Jahres gibt es eine neue ISO/IEC 27002:2022. Wir bekommen viele Fragen von unseren Kunden in den Niederlanden dazu. Dieser Blog behandelt:

1. Neue Norm ISO/IEC 27002:2022
2. ISO 27001 ist nicht dasselbe wie ISO 27002
3. ISO 27001-Audit und -Zertifikat, der Anhang A und die VVT
4. Wie unterscheidet sich die neue ISO 27002:2022 von der vorherigen?
5. Was hat die neue ISO 27002 mit meiner ISO 27001-Zertifizierung zu tun?
6. Wird sich in CyberManager etwas an Inhalt und Funktionalität ändern?

1) Neue Norm ISO/IEC 27002:2022

ISO/IEC 27002:2022 ist der Nachfolger von ISO/IEC 27002:2013. Dies sorgt für einige Verwirrung, denn in den Niederlanden ist sie als NEN-EN-ISO/IEC 27002:2017 erhältlich. Woher kommt dieser Unterschied in der Bezeichnung und der Jahreszahl?

Die Internationale Organisation für Normung (ISO) legt Normen fest. Die Organisation ist ein Zusammenschluss von nationalen Normungsorganisationen in 163 Ländern, so wie wir in den Niederlanden das NEN kennen. Auf internationaler Ebene arbeitet die ISO viel mit der IEC, der Internationalen Elektrotechnischen Kommission, zusammen, weshalb einige Normen die Bezeichnung ISO/IEC tragen. NEN steht für das NEderland Normalisation Institute, das für die Registrierung von Normen zuständig ist. Die Bezeichnung EN steht für die Europäische Normungsorganisation und gilt für ganz Europa. Nationale Normungsinstitute wie das NEN veröffentlichen sie dann in ihrem eigenen Land. Eine NEN-EN-ISO/IEC-Norm bedeutet also, dass es sich um eine internationale Norm handelt, die auch in Europa und vom NEN auch in den Niederlanden anerkannt wird. Ein Zusatz wie NL wird oft hinzugefügt, um anzuzeigen, dass die Norm auch in niederländischer Sprache verfügbar ist.

Da zwischen der Übersetzung und/oder dem Abgleich einer internationalen Norm mit der lokalen Gesetzgebung einige Zeit vergehen kann, kann es einen (minimalen) Unterschied im Inhalt und in der Veröffentlichung geben. Im Grunde genommen ist die "nationale" Norm NEN-EN-ISO/IEC 27002:2017 jedoch die gleiche wie ISO/IEC 27002:2013.

2) ISO 27001 ist nicht dasselbe wie ISO 27002

ISO 27001 ist eine weltweit anerkannte Norm auf dem Gebiet der Informationssicherheit. Mit dem so genannten Information Security Management System (ISMS) wird die Umsetzung des Prozesses zum Management von Informationssicherheitsrisiken beschrieben. Eine Zertifizierung ist derzeit nur nach der Norm ISO 27001 möglich.
Die derzeit aktuellen Versionen sind:

• ISO/IEC 27001:2013 (international) und derzeit noch die aktuelle Norm
• NEN-EN-ISO/IEC 27001:2017 (auch auf Niederländisch über die NEN als -NL erhältlich, unterscheidet sich aber inhaltlich nicht)

3) ISO 27001-Audit und -Zertifikat, der Anhang A und die VVT

Ein ISO 27001-Audit konzentriert sich hauptsächlich auf die Prozesssicherheit, das ISMS, aber das Audit prüft auch die Kontrollmaßnahmen, die im so genannten Anhang A (oder Anhang A im Niederländischen) des ISO 27001-Normendokuments beschrieben sind. Dieser Anhang A ist eine Liste von Kontrollmaßnahmen, die (einschließlich Nummerierung, Kapitel und Abschnitte) aus ISO 27002 übernommen wurden, aber nicht identisch sind

Die Norm ISO 27002 geht über diese Aufzählung von Kontrollmaßnahmen hinaus und bietet einen detaillierteren Einblick in jede Kontrollmaßnahme in Form von "Best Practises" (Techniken, Arbeitsmethoden, die gegebenenfalls anzuwenden sind, usw.), um die Kontrollmaßnahme zu vervollständigen.

Es steht Ihnen frei, andere Kontrollmaßnahmen (eigene oder aus anderen Standards wie CIS, NIST-CSF usw.) anzuwenden, solange Sie die Kontrollmaßnahmen in Anhang A nachweislich einhalten.

Für jede Bewirtschaftungsmaßnahme sollten Sie angeben, ob sie anwendbar ist oder nicht und ob sie umgesetzt wurde oder nicht. Dies erklären Sie in der sogenannten Anwendbarkeitserklärung (VVT). Diese VVT enthält den Verweis auf die beim ISO 27001-Audit verwendete Version, z. B. EN-EN-ISO/IEC 27001:2017 +A11:2020.

Hey, ein weiterer Hinweis "+A11:2020"? Dieses "+A11" bezieht sich auf die Änderungen im Vergleich zu denen der NEN und das ":2020" auf das Jahr, in dem diese Änderung vorgenommen wurde. Das NEN verwendet für dieselbe Norm in den Niederlanden eine eigene Nummerierung, was daher verwirrend sein kann. Andere Länder verwenden möglicherweise auch eine "eigene" andere Nummerierung.
Hoffentlich verstehen Sie noch......?

4) Wie unterscheidet sich die neue ISO 27002:2022 von der vorherigen?

Wir werden in diesem Blog nicht auf alle Änderungen eingehen, einige sind bereits bekannt, aber wir werden vor allem die Dinge erläutern, die unsere Nutzer betreffen werden.

In der alten ISO/IEC 27002:2013 bestand jede Managementmaßnahme (Best Practice) aus einer:

• Beschreibung der Kontrolle (Managementmaßnahme)
• Leitfaden für die Umsetzung oder "Beste Praxis")

Die neue ISO/IEC 27002:2022 spricht nicht mehr von "Best Practices", sondern nur noch von Managementmaßnahmen (Kontrollen), und diese bestehen nun aus :

• Beschreibung der Kontrolle (Managementmaßnahme)
• Zweck
• Leitfaden

Für jede Kontrolle (Kontrollmaßnahme) wird auch eine Attributtabelle (siehe Beispiel unten) angezeigt, die bei der Auswahl (Filterung) von Kontrollmaßnahmen zu verschiedenen Themen helfen kann.

Drei Kontrolltypen zur Auswahl von Kontrollmaßnahmen unter dem Gesichtspunkt, wann und wie im Falle eines Informationssicherheitsvorfalls zu handeln ist.

Vorbeugend; die Kontrolle soll das Auftreten eines Informationssicherheitsvorfalls verhindern,

Detektiv; die Überwachung erfolgt, wenn ein Vorfall im Bereich der Informationssicherheit eintritt,

Die Überwachung erfolgt, nachdem ein Vorfall im Bereich der Informationssicherheit stattgefunden hat.

Ein Trio von Eigenschaften der Informationssicherheit: Auswahl von Managementmaßnahmen aus der Perspektive von Informationseigenschaften wie: Vertraulichkeit, Integrität und/oder Verfügbarkeit.

Cybersicherheitskonzepte ist ein Attribut zur Auswahl von Managementmaßnahmen aus der Perspektive der Cybersicherheitskonzepte, die im ISO/IEC TS 27110 Cybersicherheitsrahmen und im NIST CSF-Modell definiert sind: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

Operative Fähigkeiten ist ein Attribut zur Auswahl von Managementmaßnahmen aus der Sicht des Eigentümers oder Verwalters eines bestimmten Bereichs. Die Attributwerte bestehen aus: Governance, Ressourcenmanagement, Informationssicherheit, HR, physische Sicherheit, System- und Netzwerksicherheit, Anwendungssicherheit, sichere Konfiguration, Identitäts- und Zugriffsmanagement, Management von Schwachstellen und Bedrohungen, Kontinuität, Lieferantenmanagement, Einhaltung von Gesetzen und Vorschriften, Management von Informationssicherheitsvorfällen und Assurance.

Sicherheitsdomänen ist ein Attribut zur Auswahl von Managementmaßnahmen aus der Perspektive von vier Informationssicherheitsbereichen: Governance und Ökosystem, Schutz, Verteidigung und Widerstandsfähigkeit.

Alle oben beschriebenen Attribute der ISO 27002 sind allgemeiner Art, und Organisationen können eines oder mehrere der Attribute außer Acht lassen oder ihre eigenen erstellen.

5) Was hat die neue ISO 27002 mit meiner ISO 27001-Zertifizierung zu tun?

Noch nicht, es gibt noch keine neue ISO 27001-Norm und daher auch noch keinen neuen Anhang A. Es wird natürlich eine geben, und dann wird der Anhang A in Bezug auf das Layout und die Aufzählung der Beschreibung der Kontrollmaßnahmen übereinstimmen. Die NEN-Organisation erwartet im Mai einen aktualisierten Anhang A für die bestehende ISO/IEC 27001:2013, vielleicht mit der Bezeichnung +A1:2022? Immerhin handelt es sich dann um die erste "Änderung" des neuen Anhangs 2022. Viele werden auf die niederländische modifizierte NEN-EN ISO/IEC 27001:2017 +A1:2022 warten. Diese wird bis Ende 2022 erwartet.

Wenn Sie bereits ein Zertifikat besitzen, müssen Sie nicht sofort etwas unternehmen. Sobald die neue ISO27001-Norm mit dem aktualisierten Anhang A in Kraft ist, gilt eine Übergangsfrist von zwei Jahren. Wenn Sie sich mitten in einem Zertifizierungsprozess befinden, hängt es davon ab, wann Sie das Audit durchführen werden, ob es am besten ist, sich auf die neue ISO27001 und Anhang A zu konzentrieren. Vereinbaren Sie dies z.B. mit Ihrer Zertifizierungsstelle oder Ihrem Implementierungspartner!

 6) Ändert sich am CyberManager etwas in Bezug auf Inhalt und Funktionalität?

Die Struktur des neuen Anhangs A wird sich höchstwahrscheinlich nicht wesentlich von der des derzeitigen Anhangs A unterscheiden. Also auch eine Auflistung von Managementmaßnahmen, aber:

Die Klassifizierung erfolgt auf der Grundlage des neuen Anhangs A, der sich auf die ISO 27002:2022 stützt.

• 1. Alt: 14 Kapitel und 114 Verwaltungsmaßnahmen
  2. Neu: 4 Kapitel (Menschlich, technisch, physisch und organisatorisch)

• 93 Verwaltungsmaßnahmen statt 114, also weniger Arbeit? Es sind 11 neue Maßnahmen hinzugekommen, aber sie sind in der Gesamtzahl von 93 enthalten. Aber wie? In der neuen 27002 wurden 114 Managementmaßnahmen, die bereits viele zusammen waren, zusammengeführt, einige sind gleich geblieben und eine Maßnahme wurde aufgeteilt, um auf 82 zu kommen. Die vollständige Liste der Unterschiede zwischen ISO 27002:2013 und ISO 27002:2013 finden Sie im Anhang B der ISO 27002:2022.

CyberManager-Benutzern, die den CyberManager-Maßnahmenkatalog verwendet haben, wird er vertraut sein. Anstelle der 4 neuen Abschnitte und 82 zusammengefassten Managementmaßnahmen basierte der CyberManager-Maßnahmenkatalog bereits auf 7 Abschnitten und 71 zusammengefassten Maßnahmen.

Wir verstehen also diese neue ISO 27002:2022, sind aber nur ein wenig weiter gegangen. Übrigens kann dieser CyberManager-Maßnahmenkatalog auch im neuen Format verwendet werden.

Sobald der neue Anhang A in Kraft ist, werden die folgenden Punkte bearbeitet:

6.1) Hinzufügung der NEN-EN ISO/IEC ISO27001:2017 +A1:2022, wenn Sie eine Lizenz besitzen.

6.2) Wir bieten eine weitere Klassifizierung der Maßnahmen

Verschiebung der Maßnahmen in das entsprechende Kapitel, einige Zusammenlegungen und Hinzufügung/Integration der neuen 11 Maßnahmen.

Alle bestehenden Verbindungen mit Managementmaßnahmen (Kontrollen) zu anderen Standards wie ISAE 3402, SOC 2 usw. bleiben bestehen. In der Tat ändert sich nichts an den bestehenden und zusammengelegten Maßnahmen. 

Neue Vorlagen für die neuen Maßnahmen: Die neue ISO 27002 hat daher auch neue Managementmaßnahmen hinzugefügt, die daher auch in den Maßnahmenkatalog aufgenommen oder integriert werden müssen:

- Informationen über Bedrohungen (Kl. 5.7)

- Informationssicherheit bei der Nutzung von Cloud-Diensten (Kl. 5.23)

- IKT-Bereitschaft für die Geschäftskontinuität (Kl. 5.30)

- Überwachung der physischen Sicherheit (Kl. 7.4) Konfigurationsmanagement (Kl. 8.9)  

- Löschung von Informationen (Kl. 8.10)

- Datenmaskierung (Kl. 8.11)

- Verhinderung von Datenverlusten (Kl. 8.12) 

- Überwachungsmaßnahmen (Kl. 8.16)

- Web-Filterung (Kl. 8.23) 

- Sichere Kodierung (Kl. 8.28)

Sie müssen diese neuen Managementmaßnahmen umsetzen, unabhängig davon, ob Sie die "alte" ISO 27002:2017, den CyberManager-Maßnahmenkatalog oder einen anderen Katalog wie die alte ISO 27002 verwenden.

Ein Hindernis?

ISO 27002:2022 enthält eine Referenztabelle, um die "alten" Managementmaßnahmen den neuen zuzuordnen. Bei einigen Managementmaßnahmen hat sich der Text geändert, zum einen aufgrund der Zusammenlegung (in diesem Fall hat sich inhaltlich nicht viel geändert), aber auch der Text kann sich geändert haben.  Bei einigen Bewirtschaftungsmaßnahmen, für die die Best Practices nun als Umsetzungsleitlinie aufgenommen wurden, hat sich auch der Inhalt der Bewirtschaftungsmaßnahme und damit auch der Anhang A geändert.

Mit einer neuen Kartierung sind Sie also noch nicht am Ziel, wir werden Sie natürlich zu gegebener Zeit darauf hinweisen, aber Sie müssen prüfen, ob Ihre derzeitigen Maßnahmen noch passen.

6.3) Und in Bezug auf die Funktionalität?

Der Maßnahmenauswahlprozess für die Erstellung von Maßnahmenvorschlägen (Baseline) im CyberManager ist bereits weitgehend auf die Verwendung dieser Attribute abgestimmt. 

Das System bietet bereits Möglichkeiten, mit Selektionen (Attributen) wie Kontrolltypen zu arbeiten, aber ein Detektortyp wurde noch nicht angewendet.

Funktionen zur Informationssicherheit wurden bereits implementiert.

Cybersicherheitskonzepte und Sicherheitsbereiche werden bereits als Sicherheitsstufenattribute für das Cybersicherheitskonzepte für die CIS-Kontrolle und das NIST CSF verwendet.

Das Attribut "Operational Capabilities" wird im CyberManager teilweise von Prozess-/Organisations- und/oder Ressourcentypen abgedeckt.

Die neue ISO27002:2022 bringt also keine größeren Änderungen mit sich, aber wir werden sie, wo nötig, ergänzen, damit die Angleichung an die ISO27002:2020 für Kunden, die sie verwenden wollen, so optimal wie möglich ist.

Zur Vereinfachung dieses Blogs wurden einige Dinge aus der ISO ISO/IEC 27002:2022 übersetzt
aber wir raten Ihnen, auf die offizielle niederländische Übersetzung der neuen Normen zu warten.

Quellen:
Vom NEN während des Webinars im Februar zur Verfügung gestellte Informationen,
die Norm ISO/IEC 27002:2022, die NEN-Website, die Website ISO.org und unsere Zertifizierungsstelle.