Was ist ISO 27002?

Die ISO 27002 ist eine internationale Norm, die einen vollständigen Leitfaden für Informationssicherheitsmaßnahmen bereitstellt. Sie gehört zur ISO-27000-Normenreihe und bildet das zentrale Referenzwerk für die Auswahl, Implementierung und Verwaltung von Sicherheitsmaßnahmen (Controls) in Organisationen jeder Größe und Branche.

Während die ISO 27001 die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) definiert und zertifizierbar ist, liefert die ISO 27002 den dazugehörigen Maßnahmenkatalog: konkrete Empfehlungen und Best Practices, wie einzelne Sicherheitskontrollen umzusetzen sind. Sie ist damit kein Zertifizierungsstandard, sondern ein praxisorientierter Implementierungsleitfaden.

Der vollständige Name der Norm lautet: ISO/IEC 27002:2022 — Information security, cybersecurity and privacy protection — Information security controls. Die Norm wird gemeinsam von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) herausgegeben.

Wer braucht ISO 27002?

Die ISO 27002 ist relevant für:

• Unternehmen, die ISO 27001 einführen oder bereits zertifiziert sind
• Informationssicherheitsbeauftragte (ISB) und IT-Sicherheitsverantwortliche
• Organisationen, die ihr Sicherheitsniveau systematisch verbessern möchten
• Unternehmen, die NIS2-Anforderungen oder branchenspezifische Regulierungen erfüllen müssen
• Auditoren und Berater im Bereich Informationssicherheit

Die Norm dient als Grundlage für die Risikobehandlung: Sobald im Rahmen eines ISMS Risiken identifiziert wurden, gibt ISO 27002 konkrete Handlungsempfehlungen, welche Maßnahmen zur Risikominderung geeignet sind. Grundlage dafür ist eine strukturierte Schutzbedarfsfeststellung, die den tatsächlichen Sicherheitsbedarf jedes Informationswertes ermittelt.

ISO 27002:2022 — Die neue Struktur

Im Februar 2022 wurde die ISO 27002 grundsätzlich überarbeitet und neu strukturiert. Die bisherige Version von 2013 umfasste 14 Kapitel mit 114 Controls. Die neue Version ISO 27002:2022 reduziert und konsolidiert dies auf 4 Themenbereiche mit 93 Controls.

Die 4 Themenbereiche im Überblick

Neue Attribute für Controls

Ein wichtiges Novum der ISO 27002:2022 ist die Einführung von Attributen für jeden Control. Diese ermöglichen es Organisationen, die Controls nach verschiedenen Dimensionen zu filtern und zu kategorisieren:

• Control-Typen: Präventiv, Detektiv, Korrektiv
• Informationssicherheitseigenschaften: Vertraulichkeit, Integrität, Verfügbarkeit (CIA-Triade)
• Cybersicherheitskonzepte: Identify, Protect, Detect, Respond, Recover
• Operative Fähigkeiten: Governance, Asset Management, Informationsschutz usw.
• Sicherheitsdomänen: Governance & Ecosystem, Protection, Defence, Resilience

Diese Attribute machen die ISO 27002:2022 deutlich flexibler in der praktischen Anwendung und erleichtern die Zuordnung zu Frameworks wie NIST CSF, CIS Controls oder BSI IT-Grundschutz.

Organisatorische Maßnahmen (Kapitel 5) — Übersicht der Controls

Mit 37 Controls ist Kapitel 5 das umfangreichste Kapitel der ISO 27002:2022. Es behandelt alle governancebezogenen und prozessualen Sicherheitsmaßnahmen einer Organisation.

Ausgewählte Controls aus Kapitel 5

• 5.1 Richtlinien zur Informationssicherheit: Entwicklung, Genehmigung und regelmäßige Überprüfung von IS-Richtlinien
• 5.2 Rollen und Verantwortlichkeiten: Klare Zuordnung von IS-Aufgaben und Befugnissen
• 5.3 Aufgabentrennung: Vermeidung von Interessenkonflikten durch Trennung kritischer Funktionen
• 5.7 Bedrohungsinformationen: Sammlung und Analyse von Threat-Intelligence-Daten
• 5.8 Informationssicherheit im Projektmanagement: Integration von IS in alle Projektphasen
• 5.10 Akzeptable Nutzung von Informationen: Regeln für den Umgang mit Informationswerten
• 5.15 Zugangskontrolle: Richtlinien zur Steuerung des Zugangs zu Informationen
• 5.19 Informationssicherheit in Lieferantenbeziehungen: Anforderungen an externe Dienstleister
• 5.23 Informationssicherheit für Cloud-Dienste: Sicherheitsanforderungen bei Cloud-Nutzung
• 5.24 Planung und Vorbereitung des IS-Vorfallmanagements: Strukturiertes Incident-Response-Framework
• 5.29 Informationssicherheit während einer Störung: Aufrechterhaltung der IS im Krisenfall
• 5.36 Konformität mit IS-Richtlinien: Überprüfung der Einhaltung interner Vorgaben
• 5.37 Dokumentierte Betriebsabläufe: Dokumentation sicherheitsrelevanter Prozesse

Kapitel 5 bildet das Rückgrat des ISMS: Ohne klare organisatorische Regelungen können technische Maßnahmen ihre Wirkung nicht entfalten. Besonders die Controls zur Lieferkettensicherheit (5.19–5.22) und zum Cloud-Computing (5.23) wurden in der 2022er Version erheblich ausgebaut.

Personenbezogene Maßnahmen (Kapitel 6) — Übersicht

Kapitel 6 umfasst 8 Controls, die den gesamten Beschäftigtenlebenszyklus aus IS-Perspektive abdecken — von der Einstellung bis zum Ausscheiden aus dem Unternehmen.

Die 8 Controls im Überblick

• 6.1 Überprüfung von Bewerbern: Hintergrundprüfungen vor der Einstellung entsprechend der Risikoklassifizierung
• 6.2 Beschäftigungsbedingungen: Vertragliche Vereinbarungen zu IS-Pflichten und Vertraulichkeit
• 6.3 Informationssicherheitsbewusstsein, -ausbildung und -schulung: Regelmäßige Security-Awareness-Maßnahmen für alle Beschäftigten
• 6.4 Disziplinarverfahren: Konsequenzen bei IS-Verstößen klar definieren und kommunizieren
• 6.5 Verantwortlichkeiten nach Beendigung des Beschäftigungsverhältnisses: Rückgabe von Zugängen und Geräten, Geheimhaltungspflichten
• 6.6 Vertraulichkeits- oder Geheimhaltungsvereinbarungen: NDAs mit Mitarbeitern und Dritten
• 6.7 Fernarbeit: Sicherheitsanforderungen für Home-Office und Remote-Arbeitsplätze
• 6.8 Meldung von IS-Ereignissen: Etablierung von Meldewegen für Sicherheitsvorfälle und Schwachstellen

Der Mensch ist nach wie vor das häufigste Einfallstor für Sicherheitsvorfälle. Kapitel 6 der ISO 27002 stellt sicher, dass Organisationen den Faktor Mensch systematisch in ihre Sicherheitsstrategie einbeziehen. Besonders der neue Control 6.7 zur Fernarbeit trägt der veränderten Arbeitswelt nach der COVID-19-Pandemie Rechnung.

Physische Maßnahmen (Kapitel 7) — Übersicht

Kapitel 7 behandelt mit 14 Controls alle Maßnahmen zum Schutz physischer Infrastruktur, Gebäude und Geräte.

Ausgewählte Controls aus Kapitel 7

• 7.1 Physische Sicherheitsbereiche: Definition und Schutz von Sicherheitszonen (Perimeterschutz)
• 7.2 Physischer Zutritt: Zutrittskontrollsysteme, Besuchermanagement, Protokollierung
• 7.3 Sicherung von Büros, Räumen und Einrichtungen: Schutz vor unbefugtem Zugang und Vandalismus
• 7.4 Physische Sicherheitsüberwachung: Videoüberwachung, Alarmanlagen, Sensoren
• 7.5 Schutz vor physischen und umgebungsbedingten Bedrohungen: Brandschutz, Wassereinbruch, Naturkatastrophen
• 7.6 Arbeiten in Sicherheitsbereichen: Verhaltensregeln in geschützten Zonen
• 7.7 Clear Desk und Clear Screen: Aufgeräumter Schreibtisch und gesperrter Bildschirm als Grundregel
• 7.8 Aufstellung und Schutz von Betriebsmitteln: Sichere Platzierung von Servern und IT-Equipment
• 7.9 Sicherheit von Werten außerhalb der Räumlichkeiten: Schutz mobiler Geräte und Datenträger unterwegs
• 7.10 Speichermedien: Sichere Handhabung, Speicherung und Entsorgung von Datenträgern
• 7.11 Unterstützende Versorgungseinrichtungen: USV, Klimatisierung, redundante Stromversorgung
• 7.12 Verkabelungssicherheit: Schutz von Netzwerk- und Stromkabeln vor Beschädigung und Abhören
• 7.13 Wartung von Betriebsmitteln: Regelmäßige Wartung zur Sicherstellung der Verfügbarkeit
• 7.14 Sichere Entsorgung oder Wiederverwendung von Betriebsmitteln: Datenlöschung vor Entsorgung oder Weitergabe

Die physische Sicherheit wird oft unterschätzt, ist aber unverzichtbar: Ein gestohlener Laptop oder ein unbefugter Zutritt zum Serverraum kann alle technischen Schutzmaßnahmen zunichte machen. Kapitel 7 der ISO 27002 schafft hierfür einen klaren Rahmen.

Technologische Maßnahmen (Kapitel 8) — Übersicht

Mit 34 Controls ist Kapitel 8 das zweitgrößte Kapitel und deckt alle technischen Sicherheitsmaßnahmen ab — von der Endgerätesicherheit bis zur Kryptographie.

Schwerpunktthemen in Kapitel 8

• 8.1 Benutzerendgeräte: Sicherheitsanforderungen für PCs, Laptops, Smartphones (MDM, Verschlüsselung)
• 8.2 Privilegierte Zugriffsrechte: Verwaltung von Admin-Konten nach Least-Privilege-Prinzip
• 8.4 Zugang zu Quellcode: Schutz von Entwicklungsumgebungen und Source-Code-Repositories
• 8.7 Schutz vor Schadsoftware: Anti-Malware-Lösungen, regelmäßige Updates, Verhaltensanalyse
• 8.8 Handhabung von technischen Schwachstellen: Vulnerability-Management und Patch-Management-Prozesse
• 8.9 Konfigurationsmanagement: Standardisierte Sicherheitskonfigurationen und Änderungskontrolle
• 8.12 Verhinderung von Datenverlust (DLP): Maßnahmen zur Erkennung und Verhinderung von Datenlecks
• 8.15 Protokollierung: Aufzeichnung sicherheitsrelevanter Ereignisse und Aktivitäten
• 8.16 Überwachungsaktivitäten: Monitoring von Netzwerken, Systemen und Anwendungen
• 8.20 Netzwerksicherheit: Netzwerksegmentierung, Firewalls, sichere Protokolle
• 8.21 Sicherheit von Netzdiensten: Anforderungen an Netzwerkdienstleister und Cloud-Verbindungen
• 8.24 Kryptographie: Einsatz von Verschlüsselung, Schlüsselverwaltung, PKI
• 8.25 Sicherer Entwicklungslebenszyklus: Security-by-Design und DevSecOps-Prinzipien
• 8.28 Sichere Programmierung: Code-Reviews, SAST/DAST, sichere Bibliotheken
• 8.29 Sicherheitstests in Entwicklung und Abnahme: Penetrationstests und Sicherheitsabnahmen
• 8.30 Ausgelagerte Entwicklung: Sicherheitsanforderungen für externe Entwicklungspartner
• 8.31 Trennung von Entwicklungs-, Test- und Produktivumgebungen: Isolation kritischer Systeme
• 8.34 Schutz von Informationssystemen bei Audits: Minimierung von Auswirkungen durch IS-Tests

Kapitel 8 wurde in der Revision 2022 am stärksten erweitert. Neue Controls wie 8.23 (Web-Filterung), 8.28 (Sichere Programmierung) und 8.12 (DLP) tragen aktuellen Bedrohungsszenarien Rechnung. Die Verzahnung mit den Schutzzielen der Informationssicherheit ist in jedem Control explizit ausgewiesen.

ISO 27002 vs. ISO 27001 — Zusammenspiel erklärt

Die häufigste Frage in der Praxis: Was ist der Unterschied zwischen ISO 27001 und ISO 27002? Beide Normen ergänzen sich und bilden gemeinsam das Fundament eines professionellen ISMS.

Der wesentliche Unterschied

Wie arbeiten beide Normen zusammen?

Im praktischen Einsatz funktioniert das Zusammenspiel so:

1. Risikoanalyse (ISO 27001, Kapitel 6.1.2): Das Unternehmen identifiziert Informationssicherheitsrisiken
2. Risikobehandlung (ISO 27001, Kapitel 6.1.3): Für jedes Risiko werden geeignete Controls aus Anhang A ausgewählt
3. Umsetzung (ISO 27002): ISO 27002 erklärt, wie die gewählten Controls konkret implementiert werden
4. Statement of Applicability (SoA): Das SoA dokumentiert, welche Controls angewendet werden und welche nicht — und warum
5. Audit (ISO 27001): Im Zertifizierungsaudit prüft der Auditor die Umsetzung der ausgewählten Controls

ISO 27002 ist damit kein optionales Zusatzdokument, sondern die unverzichtbare Implementierungshilfe zu ISO 27001. Die ISO 27001 Zertifizierung ist ohne Verständnis der ISO 27002 Controls kaum erfolgreich durchzuführen.

ISO 27002 in der Praxis: Anwendung im Unternehmen

Die Theorie ist bekannt — doch wie setzt ein Unternehmen die ISO 27002:2022 konkret um? In der Praxis folgt die Implementierung einem strukturierten Prozess, der eng mit dem ISMS nach ISO 27001 verknüpft ist.

Schritt 1: Gap-Analyse durchführen

Der erste Schritt ist eine ehrliche Bestandsaufnahme: Welche der 93 Controls sind bereits vollständig umgesetzt? Welche teilweise? Welche gar nicht? Eine strukturierte Gap-Analyse legt den Grundstein für die Priorisierung. Werkzeuge wie ISO 27002-Checklisten oder spezialisierte Informationssicherheits-Software unterstützen dabei.

Schritt 2: Risikoorientierte Auswahl der Controls

Nicht alle 93 Controls müssen zwingend implementiert werden. Die Auswahl erfolgt risikobasiert: Controls, die für die spezifischen Risiken und den Anwendungsbereich der Organisation relevant sind, werden priorisiert. Unternehmen ohne eigene Softwareentwicklung können beispielsweise die Controls 8.25–8.31 als nicht anwendbar erklären — müssen dies aber im Statement of Applicability begründen.

Schritt 3: Implementierungsplan erstellen

Für jeden ausgewählten Control wird ein konkreter Implementierungsplan erstellt:

• Verantwortliche Person oder Abteilung
• Erforderliche Ressourcen (Zeit, Budget, Personal)
• Umsetzungstermin und Meilensteine
• Messbare Erfolgskriterien

Schritt 4: Schulung und Awareness

Technische Controls sind nur wirksam, wenn die Mitarbeiter sie kennen und akzeptieren. Security-Awareness-Trainings (Control 6.3) sind daher kein Luxus, sondern Pflichtbestandteil jeder ISO-27002-Implementierung. Regelmäßige Phishing-Simulationen, E-Learning-Module und IS-Schulungen stärken das Sicherheitsbewusstsein nachhaltig.

Schritt 5: Überwachung und kontinuierliche Verbesserung

ISO 27002 ist kein einmaliges Projekt. Sicherheitsmaßnahmen müssen regelmäßig auf ihre Wirksamkeit überprüft und an neue Bedrohungen angepasst werden. Interne Audits, Management-Reviews und Kennzahlen (KPIs) zur Informationssicherheit ermöglichen den kontinuierlichen Verbesserungsprozess (KVP).

Typische Herausforderungen

• Ressourcenmangel: Besonders KMU fehlen oft dedizierte IS-Spezialisten — ein externer Informationssicherheitsbeauftragter kann helfen
• Komplexität: 93 Controls erscheinen anfangs überwältigend — eine phasenweise Implementierung schafft Abhilfe
• Akzeptanz: Sicherheitsmaßnahmen werden oft als Hürde empfunden — Change Management ist wichtig
• Aktualität: Bedrohungslandschaft verändert sich schnell — regelmäßige Überprüfung ist nötig

Häufig gestellte Fragen (FAQ)

Ist ISO 27002 kostenlos verfügbar?

Nein, die ISO 27002:2022 ist eine kostenpflichtige Norm. Sie kann über die ISO-Website, das Beuth-Verlag (jetzt DIN Media) oder die DIN-Norm-Datenbank erworben werden. Der Preis liegt typischerweise zwischen 150 und 250 Euro. Eine kostenlose Kurzübersicht bietet die ISO auf ihrer Website.

Wie viele Controls hat die ISO 27002:2022?

Die ISO 27002:2022 umfasst 93 Controls in 4 Kapiteln. Im Vergleich zur Vorgängerversion 2013 mit 114 Controls wurden einige Controls zusammengeführt, andere neu hinzugefügt. Insgesamt gibt es 11 neue Controls, darunter Threat Intelligence (5.7), Cloud-Sicherheit (5.23) und Data Leakage Prevention (8.12).

Was ist der Unterschied zwischen ISO 27001 Anhang A und ISO 27002?

ISO 27001 enthält in seinem Anhang A eine strukturierte Liste aller 93 Controls als normative Referenz. ISO 27002 liefert zu jedem dieser Controls ausführliche Implementierungshinweise, Beispiele und Erläuterungen. Technisch gesehen spiegelt der Anhang A der ISO 27001 exakt die Struktur und Controls der ISO 27002 wider — die Normen sind aufeinander abgestimmt.

Muss ich alle 93 Controls implementieren?

Nein. Die Auswahl der Controls erfolgt risikobasiert. Im Statement of Applicability (SoA) dokumentiert das Unternehmen, welche Controls angewendet werden, welche als nicht anwendbar ausgeschlossen wurden und warum. Ausgeschlossene Controls müssen begründet werden — typische Gründe sind fehlende Relevanz für den Anwendungsbereich oder bereits anderweitig abgedeckte Risiken.

Wann wurde ISO 27002:2022 veröffentlicht und was ändert sich für bestehende ISO-27001-Zertifikate?

Die ISO 27002:2022 wurde im Februar 2022 veröffentlicht. Die aktualisierte ISO 27001:2022 (mit dem neuen Anhang A) folgte im Oktober 2022. Für Organisationen mit einem bestehenden ISO 27001:2013-Zertifikat gilt eine Übergangsfrist bis Oktober 2025. Danach müssen alle Zertifikate auf die 2022er Version umgestellt sein. Organisationen, die jetzt mit der ISO-27001-Implementierung beginnen, sollten direkt nach der 2022er Version vorgehen.

Jetzt ISO 27002 professionell umsetzen

Die Implementierung der ISO 27002:2022 ist ein anspruchsvolles Projekt, das methodisches Vorgehen, fachliches Know-how und ausreichend Ressourcen erfordert. Als erfahrene Informationssicherheitsbeauftragte in Dresden und Sachsen unterstützen wir Ihr Unternehmen bei jedem Schritt:

• Gap-Analyse gegen ISO 27002:2022
• Risikobasierte Control-Auswahl und Statement of Applicability
• Implementierungsbegleitung für alle 4 Control-Kategorien
• Vorbereitung auf die ISO 27001 Zertifizierung
• Security-Awareness-Trainings für Ihre Mitarbeiter
• Kontinuierliches Monitoring und interne Audits

Sprechen Sie uns an — für eine kostenlose Erstberatung zur ISO 27002 Implementierung in Ihrem Unternehmen.

Kostenlose Erstberatung anfragen

Verwandte Themen

• IT-Grundschutz
• ISMS-Tools
• TISAX-Anforderungen
• Cyber-Versicherung
• Datensicherheit
• SIEM
• Phishing-Schutz