de
de

Wichtige internationale Standards im Überblick

Standards sind konzentriertes Fachwissen von Menschen, die tiefe Kenntnisse in ihrer Branche haben und die Anforderungen der Organisationen verstehen, die sie vertreten: Hersteller, Lieferanten, Auftraggeber, Nutzer, Berufsverbände und Behörden. Auf Grundlage dieses gemeinsamen Erfahrungswissens entstehen Normen und Anforderungen, die helfen, systematischer und erfolgreicher zu arbeiten.

Entdecken Sie einige der bekanntesten und verbreitetsten Standards, sowie solche, die aktuelle Herausforderungen und Veränderungen adressieren und uns alle betreffen.

Sicurezza delle informazioni, cybersecurity e protezione della privacy – Controlli di sicurezza delle informazioni

(Information security, cybersecurity and privacy protection – Information security controls)

L'ISO/IEC 27002:2022 è la guida all'implementazione dei controlli di sicurezza delle informazioni. Mentre l'ISO/IEC 27001 stabilisce i requisiti di un ISMS e descrive solo brevemente quali controlli esistono (Annex A), l'ISO/IEC 27002 entra nel dettaglio e spiega come ogni singolo controllo può essere implementato praticamente.

La differenza fondamentale:

  • L'ISO/IEC 27001 dice: "Dovete implementare il controllo degli accessi" (1 frase nell'Annex A).

  • L'ISO/IEC 27002 dice: "Ecco come implementare il controllo degli accessi: scopo, procedura, dettagli tecnici, best practice, errori tipici" (1 pagina intera).

L'ISO/IEC 27002:2022 non è certificabile – è un documento di riferimento da utilizzare insieme all'ISO/IEC 27001 per strutturare con successo il proprio ISMS. Aiuta i responsabili a sapere esattamente cosa significa ogni controllo, perché è importante e come dovrebbe essere implementato concretamente.

Struttura dell'ISO/IEC 27002:2022: Lo standard descrive 93 controlli di sicurezza, raggruppati in 4 categorie (temi):

  1. Controlli organizzativi (37 controlli) – Governance, policy, gestione del rischio, gestione dei fornitori.

  2. Controlli sul personale (8 controlli) – Formazione, controlli del background, sensibilizzazione.

  3. Controlli fisici (14 controlli) – Sicurezza degli edifici, controlli degli accessi, protezione dai rischi ambientali.

  4. Controlli tecnologici (34 controlli) – Controllo degli accessi, crittografia, sicurezza della rete, sviluppo software sicuro.

Ogni controllo nell'ISO/IEC 27002:2022 contiene:

  • Scopo (Purpose): Perché questo controllo è importante?

  • Descrizione: Cosa comprende il controllo?

  • Guida all'implementazione: Come si implementa?

  • Altre informazioni: Note aggiuntive, best practice.

Sistema di attributi: L'ISO/IEC 27002:2022 introduce un innovativo sistema di attributi che classifica ogni controllo secondo diverse dimensioni:

  • Tipo di controllo: Preventivo, Rilevativo, Correttivo.

  • Proprietà di sicurezza: Riservatezza, Integrità, Disponibilità.

  • Concetti di Cybersecurity: Identificare, Proteggere, Rilevare, Rispondere, Ripristinare (basato sul NIST).

  • Capacità operative: Governance, Asset Management, Identity Management, ecc.

  • Domini di sicurezza: Governance, Protezione, Difesa, Resilienza.

Questi attributi aiutano le organizzazioni a filtrare i controlli secondo le proprie esigenze specifiche e a collegarli ad altri framework (NIST, CIS Controls).

Cos'è l'ISO/IEC 27002:2022?

Perché l'ISO/IEC 27002:2022 è importante?

L'ISO/IEC 27001 da solo può essere scoraggiante: "Implementate 93 controlli" – ma come esattamente? Qui entra in gioco l'ISO/IEC 27002. È il costruttore di ponti tra teoria e pratica.

Senza ISO/IEC 27002:

  • Le organizzazioni devono indovinare come implementare i controlli.

  • Interpretazioni diverse portano a implementazioni inconsistenti.

  • Gli auditor trovano lacune perché le best practice non sono state seguite.

Con ISO/IEC 27002:

  • Istruzioni chiare e pratiche per ogni controllo.

  • Comprensione uniforme in tutto il team.

  • Maggiore tasso di successo negli audit e nelle certificazioni.

Particolarmente prezioso per:

  • Team di sicurezza, che necessitano di passaggi concreti per l'implementazione.

  • Dipartimenti IT, che implementano i controlli tecnici.

  • Consulenti e Auditor, che devono interpretare gli standard in modo coerente.

  • Management, che vuole capire perché determinati controlli sono importanti.

Vorteile für Ihr Business

Praktische Umsetzung statt Theorie
ISO/IEC 27002 verwandelt abstrakte Anforderungen in konkrete Handlungsanweisungen. Sie wissen genau, was zu tun ist – kein Rätselraten mehr.

Schnellere Implementierung
Mit klaren Anleitungen und Best Practices verkürzt sich die Zeit bis zur vollständigen ISMS-Implementierung erheblich. Teams können sofort loslegen, ohne erst externe Berater zu engagieren.

Höhere Audit-Erfolgsquote
Organisationen, die ISO/IEC 27002 als Leitfaden nutzen, bestehen Audits häufiger beim ersten Versuch, da sie wissen, was Auditoren erwarten.

Konsistente Umsetzung im gesamten Unternehmen
Alle Abteilungen arbeiten nach denselben Standards und Best Practices – keine unterschiedlichen Interpretationen mehr.

Bessere Sicherheitskultur
Die detaillierten Erklärungen helfen Mitarbeiterinnen zu verstehen, warum bestimmte Maßnahmen wichtig sind – was zu höherem Engagement führt.

Kostenersparnis
Durch strukturierte Implementierung werden teure Fehler vermieden. Sie investieren gezielt in die richtigen Kontrollen, statt Budget für ineffektive Maßnahmen zu verschwenden.

Vorbereitung auf moderne Bedrohungen
Die 11 neuen Kontrollen adressieren aktuelle Risiken wie Cloud-Sicherheit, Ransomware und Supply-Chain-Angriffe – Ihr ISMS bleibt auf dem neuesten Stand.

Kompatibilität mit anderen Frameworks
Das Attribut-System ermöglicht einfache Verknüpfung mit NIST Cybersecurity Framework, CIS Controls und anderen Standards.

Zusammenfassung der wichtigsten Vorteile

  • ✓ Klare, praxisnahe Implementierungsanleitungen für alle 93 Kontrollen

  • ✓ Schnellere und effizientere ISMS-Umsetzung

  • ✓ Höhere Erfolgsquote bei Audits und Zertifizierungen

  • ✓ Konsistente Umsetzung im gesamten Unternehmen

  • ✓ Besseres Verständnis und höhere Akzeptanz bei Mitarbeiterinnen

  • ✓ Kosteneinsparung durch gezielte Investitionen

  • ✓ Abdeckung moderner Bedrohungen (Cloud, Ransomware, Supply Chain)

  • ✓ Kompatibilität mit NIST, CIS Controls und anderen Frameworks

Für wen ist ISO/IEC 27002:2022 relevant?

ISO/IEC 27002:2022 ist relevant für alle, die ISO/IEC 27001 implementieren oder bereits ein ISMS betreiben:

Sicherheitsteams und CISOs (Konkrete Umsetzungsschritte für Kontrollen)
IT-Abteilungen (Technische Implementierungsanleitungen)
Compliance- und Risikomanager (Verständnis der Kontrollziele)
Beraterinnen und Auditorinnen (Standardisierte Interpretationen)
Management und Geschäftsführung (Verständnis für Investitionsentscheidungen)
Online-Akademien und E-Learning-Plattformen (Schutz von Lernendendaten)
SaaS- und Cloud-Anbieter (Cloud-Sicherheitskontrollen)
E-Commerce und Online-Dienstleister (Zahlungsdatensicherheit)
Kleine und mittlere Unternehmen (Strukturierte Sicherheitsimplementierung)

Wie unterstützt EAS™ Sie bei ISO/IEC 27002:2022?

A.5 Organisatorische Kontrollen (37 Kontrollen)

Diese Kontrollen betreffen Governance, Policies, Prozesse und organisatorische Rahmenbedingungen:

Wichtige Kontrollen:

  • A.5.1 Policies für Informationssicherheit – Erstellung und Kommunikation von Sicherheitsrichtlinien

  • A.5.7 Threat Intelligence – Sammlung und Analyse von Bedrohungsinformationen

  • A.5.9 Inventar von Informationen und anderen Werten – Asset-Management

  • A.5.19 Informationssicherheit in Lieferantenbeziehungen – Sicherheit bei Drittanbietern

  • A.5.23 Informationssicherheit bei Cloud-Services – Cloud-Sicherheit

  • A.5.24 Incident Management – Planung und Reaktion auf Sicherheitsvorfälle

  • A.5.30 ICT-Bereitschaft für Business Continuity – IT-Notfallpläne

A.6 Personelle Kontrollen (8 Kontrollen)

Diese Kontrollen betreffen Menschen und deren Rolle in der Informationssicherheit:

Wichtige Kontrollen:

  • A.6.1 Screening – Hintergrundprüfungen bei Einstellungen

  • A.6.2 Arbeitsverträge – Sicherheitsklauseln in Verträgen

  • A.6.3 Sensibilisierung, Schulung und Training – Bewusstseinsbildung

  • A.6.4 Disziplinarverfahren – Umgang mit Sicherheitsverstößen

  • A.6.5 Verantwortlichkeiten nach Beendigung – Offboarding-Prozesse

  • A.6.8 Remote-Arbeit – Sicherheit bei Homeoffice und mobilem Arbeiten

A.7 Physische Kontrollen (14 Kontrollen)

Diese Kontrollen betreffen physische Sicherheit von Gebäuden, Räumen und Geräten:

Wichtige Kontrollen:

  • A.7.1 Physische Sicherheitsbereiche – Abgrenzung und Schutz sensibler Bereiche

  • A.7.2 Physischer Zutritt – Zugangskontrollen zu Gebäuden und Räumen

  • A.7.4 Physische Sicherheitsüberwachung – Überwachungskameras, Alarme

  • A.7.7 Clear Desk und Clear Screen – Saubere Schreibtische und Bildschirme

  • A.7.10 Sichere Entsorgung oder Wiederverwendung von Geräten – Löschen von Daten

A.8 Technologische Kontrollen (34 Kontrollen)

Diese Kontrollen betreffen IT-Systeme, Netzwerke, Anwendungen und Daten:

Wichtige Kontrollen:

  • A.8.1 Benutzer-Endgeräte – Sicherheit von Laptops, Smartphones

  • A.8.2 Privilegierte Zugriffsrechte – Verwaltung von Admin-Rechten

  • A.8.3 Einschränkung des Informationszugriffs – Need-to-know-Prinzip

  • A.8.5 Sichere Authentifizierung – Passwörter, Multi-Faktor-Authentifizierung

  • A.8.9 Konfigurationsmanagement – Verwaltung von System-Konfigurationen

  • A.8.10 Informationslöschung – Sichere Datenlöschung

  • A.8.11 Datenmaskierung – Schutz sensibler Daten in Test-Umgebungen

  • A.8.12 Verhinderung von Datenlecks – Data Loss Prevention (DLP)

  • A.8.16 Überwachung von Aktivitäten – Logging und Monitoring

  • A.8.23 Web-Filterung – Kontrolle des Internetzugangs

  • A.8.24 Verwendung von Kryptographie – Verschlüsselung

  • A.8.26 Anforderungen an Anwendungssicherheit – Secure Development

  • A.8.28 Sichere Codierung – Secure Coding Practices

  • A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

_______________________________________

Mehr erfahren: Besuchen Sie die ISO-Website oder kontaktieren Sie einen EAS™-zertifizierten Auditor für eine umfassende Beratung zu Ihrer spezifischen Situation.

Die 4 Kategorien von ISO/IEC 27002:2022 im Detail?

Der European Attestation Standard™ (EAS™) orientiert sich an den praktischen Kontrollen von ISO/IEC 27002:2022 und stellt sicher, dass Ihre Online-Dienstleistungen und digitalen Angebote nach denselben Best Practices geschützt werden – ohne dass Sie selbst ISO-zertifiziert sein müssen.

Durch die Verwendung von EAS™-Kriterien können Sie:

  • Konkrete Sicherheitskontrollen nach ISO-Standards implementieren

  • Ihre technischen, organisatorischen und personellen Maßnahmen strukturieren

  • Best Practices für Cloud-Sicherheit, Zugangskontrolle und Datenschutz anwenden

  • Ihre Organisation auf eine zukünftige ISO/IEC 27001-Zertifizierung vorbereiten

  • Vertrauen bei Lernenden, Kundinnen und Partnern durch nachweisbare Sicherheit aufbauen

  • Professionell mit Auditorinnen, Regulierungsbehörden und Enterprise-Kunden kommunizieren

Cosa è cambiato nell'ISO/IEC 27002:2022?

La versione 2022 è una revisione fondamentale della versione precedente del 2013.

Da 114 a 93 controlli:

  • 58 controlli sono stati aggiornati e modernizzati.

  • 24 controlli sono nati dall'accorpamento di 57 vecchi controlli (consolidamento).

  • 11 nuovi controlli sono stati aggiunti per affrontare le minacce moderne.

Da 14 domini a 4 categorie:

  • Vecchia struttura: 14 domini (Asset Management, Access Control, Cryptography, ecc.).

  • Nuova struttura: 4 categorie chiare (Organizzativa, Personale, Fisica, Tecnologica).

Gli 11 nuovi controlli nell'ISO/IEC 27002:2022:

  1. A.5.7 Threat intelligence – Raccolta e analisi proattiva delle informazioni sulle minacce.

  2. A.5.23 Sicurezza delle informazioni per i servizi cloud – Sicurezza negli ambienti cloud.

  3. A.5.30 Prontezza ICT per la Business Continuity – Piani di emergenza per i sistemi IT.

  4. A.7.4 Monitoraggio della sicurezza fisica – Sorveglianza di edifici e locali.

  5. A.8.9 Gestione della configurazione – Gestione delle configurazioni di sistema e software.

  6. A.8.10 Cancellazione delle informazioni – Cancellazione sicura dei dati.

  7. A.8.11 Mascheramento dei dati – Protezione dei dati sensibili in ambienti di test e sviluppo.

  8. A.8.12 Prevenzione della fuga di dati (Data Leakage Prevention) – Tecnologie contro la perdita di dati.

  9. A.8.16 Monitoraggio delle attività – Monitoraggio delle attività degli utenti e del sistema.

  10. A.8.23 Filtraggio web – Controllo dell'accesso a Internet.

  11. A.8.28 Codifica sicura – Best practice per lo sviluppo sicuro del software.

Questi nuovi controlli riflettono la realtà dei moderni ambienti IT: Cloud Computing, Lavoro Remoto, DevOps, attacchi alla Supply Chain e architettura Zero Trust.

ISO/IEC 27001 vs. ISO/IEC 27002: Der Unterschied

Beide Standards werden zusammen verwendet: ISO/IEC 27001 gibt die Struktur vor, ISO/IEC 27002 liefert die Details.

KONTAKTE

Moosbach,
Deutschland, 92709

kontakt@eas-standard-certification.com

ADRESSE
© 2026 European Attestation Standard (EAS). Alle Rechte vorbehalten.

IMPRESSUM & DATENSCHUTZ

FÜR UNSERE INTERNATIONALEN PARTNER:
Unsere Website wird auf Deutsch, Ukrainisch, Englisch und Italienisch gepflegt. Für die Zusammenarbeit stellen wir offizielle EAS-Dokumente und Attestierungsunterlagen auf Anfrage nicht nur in diesen, sondern in jeder weiteren benötigten Sprache nach Absprache bereit.