Security & Compliance

New Version of ISO 27002: With Substantial Impact on ISO 27001

The word "Compliance" in a scribble
Source: Warchi | Getty Images

A revision of the ISO standards also necessitates adjustments to the Information Security Management System (ISMS).

ISO standards tend to be long-lived. If they are revised when that happens, there will be an impact. As is the case with ISO 27002:2022. Not only ISO 27002:2013 will be completely replaced, but indirectly also Annex A of ISO 27001, because this originates from ISO 27002.

In the medium term, this will have a substantial impact on ISO 27001 compliance and on the organization-specific ISMS (Information Security Management System) in use today. The extent of the adaptation requirement depends on the design of the respective ISMS.

What has changed?

Both the organization of the controls and the scope are affected. Both quantitatively and qualitatively. Instead of 114 controls in 14 categories, there are now 93 controls in 4 categories. Of these, 11 are new.

Organization

There are now only four categories for the controls:

(5) Organizational Controls

(6) People Controls

(7) Physical Controls

(8) Technical Controls

This is much tidier in the 2022 edition than in the 2013 edition.

New Controls

The following controls are new:

  • Threat intelligence
  • Information security for use of cloud services
  • ICT readiness for business continuity
  • Physical security monitoring
  • Configuration management
  • Information deletion
  • Data masking
  • Data leakage prevention
  • Monitoring activities
  • Web filtering
  • Secure coding

Mapping Tables

The reduction to four categories has led to many changes and shifts. Mapping tables between ISO 27002:2013 and ISO 27002:2022 in both directions make it easier to find your way around.

Who is concerned?

Anyone who is involved with ISO 27001. Be it because the ISMS is based on ISO 27001 or because the organization is ISO 27001 certified. In the medium term, i.e. within the next 12-36 months, there is no way around an adaptation.

Der Autor: Christoph Jaggi

Christoph Jaggi ist Experte für Digitalisierung, Technologien und Marketing. Die Verbindung dieser Kerndisziplinen mit der Orientierung auf Menschen, Märkte und Zielgruppen bildet die Basis für das Lösen komplexer Aufgabenstellungen in unterschiedlichen Bereichen. Und sie ist die Grundlage für das Erkennen und die Entwicklung von Marktstrategien. Christoph Jaggis internationaler Kundenstamm reicht vom Startup über KMU bis zum Grosskonzern.

Für einige Leute ist Christoph Jaggi IT-Experte, für andere IT-Sicherheitsexperte, für andere Marketingexperte, für andere Strategieexperte, für andere Managementexperte und für andere Medienexperte. Er selbst sieht sich allerdings vor allem als Problemlöser, der seine Kunden darin unterstützt, für aktuelle Herausforderungen die optimale Lösung zu finden. Und da sind fachliche Silos eher ein Hindernis.

Als Autor mit weitreichender Erfahrung in den Branchen ITC, Finanzen, Medien und weitere, publiziert Christoph regelmässig zu Entwicklungen in den Bereichen Digitalisierung und Technologie mit Fokus auf Anwender, Produkte und Märkte.