Im Audit-Vorbereitungs-Workshop kommt die Frage: „Was genau erwartet der Auditor unter A.5.7 Threat Intelligence?” Die Annex-A-Beschreibung in ISO 27001 umfasst zwei Sätze. Die ausführliche Antwort steht in ISO 27002 — drei Seiten Umsetzungs-Hinweise, von Quellen-Auswahl über Auswertung bis zur operativen Verwendung. Wer ISO 27001 ohne ISO 27002 umsetzt, baut ohne Bauplan.
ISO/IEC 27002:2022 ist der Umsetzungs-Leitfaden zu den 93 Sicherheitskontrollen aus Annex A der ISO/IEC 27001. Der Standard erklärt pro Kontrolle Zweck, Umsetzung und ergänzende Hinweise. Eine eigene Zertifizierung gibt es nicht; ISO 27002 dient als Referenz für ISMS-Verantwortliche, Auditoren und Berater.
Was umfasst der Standard?
ISO 27002:2022 dokumentiert für jede der 93 Kontrollen aus Annex A der ISO 27001 vier Elemente: Kontrolltext, Zweck (Purpose), Hinweise zur Umsetzung (Guidance) und ergänzende Informationen. Vorangestellt ist ein Attribut-Block mit fünf Klassifikationen.
Die vier Themenbereiche
- A.5 — Organisatorische Kontrollen (37 Stück): Richtlinien, Rollen, Lieferanten-Beziehungen, Vorfall-Management, Klassifizierung, Threat Intelligence, Cloud-Nutzung.
- A.6 — Personenbezogene Kontrollen (8): Hintergrund-Überprüfung, Beschäftigungsbedingungen, Sensibilisierung, Disziplinarverfahren, Telearbeit, Vertraulichkeit.
- A.7 — Physische Kontrollen (14): Sicherheitsperimeter, Zutritt, Schutz vor physischen Bedrohungen, Geräte, sichere Entsorgung, Arbeiten in sicheren Bereichen.
- A.8 — Technologische Kontrollen (34): Endpunkt-Schutz, Netzwerk-Sicherheit, Kryptografie, sichere Entwicklung, Konfigurations-Management, Logging, Backup, Schwachstellen-Management.
Die fünf Attribute pro Kontrolle
Jede Kontrolle ist mit Attributen versehen, die Auswertungen und Filterungen erlauben:
- Kontroll-Typ: präventiv, detektiv oder korrektiv
- Informationssicherheits-Eigenschaften: Vertraulichkeit, Integrität, Verfügbarkeit
- Cybersecurity-Konzept: Identify, Protect, Detect, Respond, Recover (analog NIST CSF)
- Operative Fähigkeiten: z. B. Asset Management, Identity & Access Management, Threat & Vulnerability Management
- Sicherheits-Domänen: Governance & Ecosystem, Protection, Defence, Resilience
Neue Kontrollen seit 2022
Elf Kontrollen wurden mit der 2022er-Revision neu aufgenommen, weil sie technologische und operative Entwicklungen abbilden:
- A.5.7 Threat Intelligence
- A.5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
- A.5.30 IKT-Bereitschaft für die Geschäftskontinuität
- A.7.4 Überwachung der physischen Sicherheit
- A.8.9 Konfigurations-Management
- A.8.10 Löschung von Informationen
- A.8.11 Daten-Maskierung
- A.8.12 Verhinderung von Datenlecks
- A.8.16 Überwachungs-Tätigkeiten
- A.8.23 Web-Filterung
- A.8.28 Sichere Programmierung
Verhältnis zu ISO 27001
ISO 27002 ist als alleiniger Standard nicht zertifizierbar. Eine Organisation kann sich nur nach ISO 27001 zertifizieren lassen. Im Audit prüft die Zertifizierungsstelle das Statement of Applicability gegen die Annex-A-Kontrollen aus ISO 27001 — die Umsetzungs-Bewertung erfolgt jedoch typischerweise mit Blick auf die Hinweise in ISO 27002.
Konkret: Wenn der Auditor fragt, wie A.8.7 (Schutz vor Schadsoftware) umgesetzt ist, vergleicht er die Antwort mit den fünf Punkten der Umsetzungs-Hinweise aus ISO 27002. Wer dort nur sagt „wir haben einen Virenscanner”, erfüllt die Kontrolle formal — verfehlt aber Aspekte wie Sensibilisierung, Verhinderung der Ausführung nicht autorisierter Software oder Kontrolle externer Datenträger.
Mapping zu anderen Standards
| Standard | Verhältnis zu ISO 27002 |
|---|---|
| ISO/IEC 27001:2022 | ISO 27002 liefert die Umsetzungs-Hinweise zu Annex A |
| ISO/IEC 27005:2022 | Ergänzt ISO 27002 um Risikomanagement-Methodik |
| NIST SP 800-53 | US-Kontrollkatalog mit höherer Detailtiefe; Mapping-Tabellen verfügbar |
| NIST Cybersecurity Framework | Die fünf NIST-Funktionen (Identify–Recover) sind Attribut in ISO 27002 |
| CIS Controls v8 | 18 konkret-technische Kontrollen, mappen auf einzelne A.8-Kontrollen |
| BSI IT-Grundschutz | Bausteine decken vergleichbare Themen ab, aber detaillierter und prozedural |
| C5 (BSI) | Zitiert ISO-27002-Kontrollen direkt im Kriterien-Katalog |
Implementierungs-Aufwand
ISO 27002 selbst wird nicht „implementiert” — sie wird gelesen und angewendet. Der Aufwand entsteht in der Umsetzung der einzelnen Kontrollen, dokumentiert über das Statement of Applicability nach ISO 27001.
Praktischer Einsatz im Projekt:
- Aufbau-Phase: ISO 27002 ist die Bibel für die Schreibtisch-Arbeit am SoA. Pro Kontrolle 30–60 Minuten Lese- und Diskussions-Zeit, multipliziert mit 93 Kontrollen — realistisch 50–100 Stunden im Aufbau.
- Audit-Vorbereitung: Pro Kontrolle die Umsetzungs-Hinweise gegen die eigene Praxis abgleichen, Lücken markieren, Nachweise sammeln.
- Schulung: Auszüge aus ISO 27002 eignen sich für Awareness-Schulungen, weil die Sprache praxisnäher ist als der Annex-A-Text.
Verwandte Standards
- ISO/IEC 27001: Der zertifizierbare Hauptstandard, dessen Annex A von ISO 27002 erläutert wird.
- ISO/IEC 27005: Methodischer Leitfaden für die Risikobeurteilung und -behandlung im ISMS.
- BSI IT-Grundschutz: Deutscher Standard mit höherer Detailtiefe pro Baustein.
- BSI C5: Cloud-spezifische Kriterien, integrieren ISO-27002-Kontrollen.
Quellen
- ISO/IEC 27002:2022 (ISO Online Browsing Platform) — offizielle Norm-Information
- Beuth Verlag — deutsche Übersetzung als DIN EN ISO/IEC 27002 (kostenpflichtig)
- BSI: Mapping IT-Grundschutz auf ISO 27001/27002 — Mapping-Tabellen