Die internationale Norm aus der ISO-27000-Normenreihe stellt einen Leitfaden für das Informationssicherheitsmanagement zur Verfügung und bezieht sich auf ISO/IEC 27001, Anhang A, bzw. die dort beschriebenen Sicherheitsmaßnahmen. 

Die aktuelle Fassung (ISO/IEC 27002:2022) wurde am 15.02.2022 veröffentlicht und am 21.03.2022 noch einmal aktualisiert. Der neue Titel spiegelt den nun breiteren Fokus (im Vergleich zur bisherigen Fassung) wider: „Information security, cybersecurity and privacy protection – Information security controls“.

Was hat sich geändert?

Neben einer neuen Struktur (Kategorisierung der Controls in vier Themes, Einführung einer Taxonomie, Verwendung von Attributen) wurden neue Controls hinzugefügt, andere zusammengefasst oder aktualisiert. Zu den neuen Controls gehören beispielsweise die Identifikation und der Umgang mit Gefährdungen (Threat intelligence), Cloud-Sicherheit, Überwachung von Perimetern und Infrastrukturen sowie von Systemen und Netzen.

Eine Zertifizierung nach ISO 27002 ist nicht möglich, da es sich um einen ergänzenden Standard (Empfehlungen bezügl. praktischer Umsetzung) handelt.