Die neue ISO 27001:2022 Norm umfasst in der ISO 27002:2022 nunmehr 93 Kontrollen, welche in 4 Überkapitel unterteilt sind. Die bis dato aktuelle Version ISO 27001:2022 enthält 114 Kontrollen und 14 Überkapitel.
Jede Kontrolle ist zukünftig mit 5 Attributen hinterlegt:
- Kategorisierung: präventiv, detektivisch, korrigierend
- Merkmale der Informationssicherheit: Vertraulichkeit, Integrität, Verfügbarkeit (CIA);
- Cybersicherheitskonzepte: Identität, Schutz, Identifizierung, Reaktion, Wiederherstellung;
- Operative Fähigkeiten: Governance, Vermögensverwaltung, Informationssicherheit, Sicherheit der Humanressourcen, usw.
- Sicherheitsbereiche: Governance, Schutz, Widerstandsfähigkeit.
Die neue Norm ISO 27001:2022 führt darüberhinaus neue Kontrollen ein, darunter:
- Identitätsmanagement
- Löschung von Informationen
- Maskierung von Daten
- …
- …
Was ist der grundsätzliche Unterschied zwischen ISO 27001 und ISO 27002?
Organisationen können sich nach der ISO 27001 zertifizieren und damit von externer Stelle ihre Konformität mit dem Standard bestätigen lassen. Die ISO 27001 bietet also einen Rahmen für das (zertifizierbare) Informationssicherheitsmanagementsystem.
Die ISO 27002 hingegen enthält konkrete Richtlinien für die praktische Umsetzung, einschließlich der Implementierung und Verwaltung von Kontrollen, unter Berücksichtigung der individuellen Informationssicherheitsrisiken.