Brauche ich ISO 27002, wenn ich ISO 27001 implementiere?

Ja, ISO 27002 ist faktisch die Bauanleitung zu jeder ISO-27001-Implementierung. ISO 27001 verlangt die Umsetzung der ausgewählten Annex-A-Controls, gibt aber nur einen Halbsatz pro Control vor. ISO 27002 liefert für jede Maßnahme ein Kapitel mit Zweck, Implementierungs-Leitfaden und ergänzenden Informationen — und ist daher fester Bestandteil jedes ISMS-Projekts.

Was sind die fünf Attribute der ISO 27002:2022?

Die aktuelle Fassung ergänzt jede Kontrolle um fünf Attribute, mit denen sie gefiltert und auf andere Frameworks gemappt werden kann — Kontrolltyp (preventive, detective, corrective), Informationssicherheits-Eigenschaft (Confidentiality, Integrity, Availability), Cybersecurity-Konzept (Identify, Protect, Detect, Respond, Recover gemäß NIST CSF), operative Fähigkeit (Governance, Asset Management, etc.) und Sicherheitsdomäne (Governance and Ecosystem, Protection, Defence, Resilience).

Was hat sich in ISO 27002:2022 gegenüber 27002:2013 geändert?

Die Anzahl der Kontrollen wurde von 114 auf 93 reduziert, die Struktur von 14 Domänen auf 4 Themengruppen vereinfacht. Elf Kontrollen sind neu — darunter Threat Intelligence, Informationssicherheit für Cloud-Dienste, ICT-Readiness for Business Continuity, Physical Security Monitoring, Configuration Management, Information Deletion, Data Masking, Data Leakage Prevention, Monitoring Activities, Web Filtering und Secure Coding. 24 Kontrollen wurden zusammengeführt, der Rest wurde inhaltlich aktualisiert.

Kann man sich nach ISO 27002 zertifizieren?

Nein, ISO 27002 ist kein zertifizierungsfähiger Standard — er ist explizit als Leitfaden konzipiert. Die Zertifizierung erfolgt nach ISO 27001; ISO 27002 ist der Hintergrund-Standard, der die in 27001 geforderte Umsetzung der Annex-A-Controls inhaltlich beschreibt.

Wie verhält sich ISO 27002 zu BSI IT-Grundschutz und NIST CSF?

ISO 27002 ist der internationale Standard für Sicherheitskontrollen und international weit verbreitet. BSI IT-Grundschutz ist die deutsche Alternative mit detaillierteren Bausteinen und einem stärker prozessorientierten Ansatz. NIST CSF ist ein US-Framework mit fünf funktionalen Säulen (Identify, Protect, Detect, Respond, Recover). Die fünf Attribute der ISO 27002:2022 erlauben ein direktes Mapping auf NIST-CSF-Funktionen — für Unternehmen mit globalen Compliance-Anforderungen ein wichtiger Vorteil.

GlossarDefinition

Was ist ISO/IEC 27002?

Zuletzt aktualisiert: 28. Mai 2026

Kurz erklärt: ISO/IEC 27002 ist der internationale Leitfaden, der die Sicherheitsmaßnahmen aus Annex A der ISO 27001 inhaltlich konkretisiert. Während ISO 27001 die verbindlichen Anforderungen an ein Informationssicherheits-Managementsystem definiert, beschreibt ISO 27002 für jede der 93 Kontrollen den Zweck, die Umsetzung und ergänzende Hinweise. Die aktuelle Fassung 27002:2022 strukturiert die Kontrollen in vier Themengruppen und führt fünf Attribute für Filterung und Mapping ein.

ISO/IEC 27002 ist der internationale Leitfaden für Informationssicherheits-Kontrollen und ergänzt die Zertifizierungsnorm ISO/IEC 27001. Wo ISO 27001 die verbindlichen Anforderungen an ein ISMS beschreibt, liefert ISO 27002 für jede einzelne Sicherheitsmaßnahme aus Annex A eine ausführliche Beschreibung von Zweck, Umsetzung und Anwendungs-Kontext.

Foundational Facts

Aktuelle Fassung: ISO/IEC 27002:2022, veröffentlicht im Februar 2022
Vorgänger: ISO/IEC 27002:2013 (Übergangsfrist abgelaufen)
Status: Leitfaden, nicht zertifizierungsfähig
Beziehung zu ISO 27001: ISO 27002 konkretisiert die Annex-A-Controls aus ISO 27001
Umfang: 93 Kontrollen in 4 Themengruppen, jede mit Zweck, Anleitung und Hinweisen

Struktur der ISO 27002:2022

Anders als die Vorgängerfassung mit 14 Domänen strukturiert ISO 27002:2022 die Kontrollen in vier Themengruppen — die gleiche Struktur wie Annex A der ISO 27001:

Organisatorische Kontrollen (5.1–5.37) — Richtlinien, Rollen, Asset-Management, Lieferanten, Vorfallsmanagement
Personelle Kontrollen (6.1–6.8) — Screening, Awareness, Beendigung des Arbeitsverhältnisses
Physische Kontrollen (7.1–7.14) — Zutrittskontrolle, Schutz vor Umweltrisiken, sichere Entsorgung
Technologische Kontrollen (8.1–8.34) — Authentifizierung, Verschlüsselung, Logging, Cloud-Sicherheit

Pro Kontrolle liefert die Norm:

Control — kurze Bezeichnung und Definition
Purpose — warum die Kontrolle erforderlich ist
Guidance — detaillierte Umsetzungs-Empfehlungen (typischerweise ½ bis 2 Seiten)
Other information — ergänzende Hinweise, Verweise auf weitere Standards

Die fünf Attribute (neu in 2022)

Jede Kontrolle wird in der aktuellen Fassung um fünf Attribute ergänzt, mit denen sie gefiltert und auf andere Frameworks gemappt werden kann:

Attribut	Werte	Nutzen
Control Type	Preventive / Detective / Corrective	Welche Wirkrichtung hat die Maßnahme?
Information Security Properties	Confidentiality / Integrity / Availability	Welches Schutzziel adressiert sie? Verweis auf CIA-Triade
Cybersecurity Concepts	Identify / Protect / Detect / Respond / Recover	Mapping auf die fünf Funktionen des NIST CSF
Operational Capabilities	Governance, Asset Management, Information Protection, … (15 Kategorien)	Zuordnung zu Sicherheits-Capabilities
Security Domains	Governance and Ecosystem, Protection, Defence, Resilience	Hochlevel-Themen-Cluster

Diese Attribute machen ISO 27002 zum Mapping-Anker zwischen mehreren Frameworks: Wer NIST CSF einsetzt, kann die fünf NIST-Funktionen direkt auf ISO-27002-Kontrollen abbilden. Wer ein internes Sicherheits-Reporting nach Schutzzielen baut, filtert per CIA-Attribut.

Neue Kontrollen in 27002:2022

Elf Kontrollen sind in der 2022er-Fassung neu hinzugekommen:

5.7 Threat Intelligence — strukturierte Auswertung von Bedrohungsinformationen
5.23 Information Security for Cloud Services — Cloud-spezifische Risikobehandlung
5.30 ICT Readiness for Business Continuity — IT-Bereitschaft für Notfall- und Wiederherstellungsszenarien
7.4 Physical Security Monitoring — physisches Sicherheits-Monitoring
8.9 Configuration Management — verbindliches Konfigurationsmanagement
8.10 Information Deletion — Lösch-Konzepte
8.11 Data Masking — Datenmaskierung
8.12 Data Leakage Prevention (DLP) — Schutz vor Datenabfluss
8.16 Monitoring Activities — kontinuierliche Überwachung
8.23 Web Filtering — Web-Inhalts-Filterung
8.28 Secure Coding — sichere Software-Entwicklung

Diese Ergänzungen reflektieren die Realität moderner IT-Landschaften — Cloud, Remote Work, AI-/ML-getriebene Bedrohungs-Analyse, Supply-Chain-Sicherheit.

ISO 27002 in der Praxis

Beim Aufbau eines ISMS nach ISO 27001 wird ISO 27002 als Tagesgebrauch-Referenz verwendet:

Risikoanalyse identifiziert die relevanten Annex-A-Controls
Statement of Applicability (SoA) listet die ausgewählten Controls
Für jede Kontrolle wird der ISO-27002-Leitfaden zur Umsetzungs-Planung herangezogen
Die Umsetzung wird gegen die Guidance dokumentiert — sie ist das Audit-Argument

Auch nach Zertifizierung bleibt ISO 27002 die Referenz für laufende Maßnahmen-Pflege, Schulungs-Inhalte und interne Audits.

Wann ISO 27002 (ohne 27001) sinnvoll ist

Auch ohne Zertifizierungsabsicht ist ISO 27002 ein nützlicher Standard:

Self-Assessment — ein Unternehmen prüft sich systematisch entlang der 93 Kontrollen, ohne ein ISMS formal zu zertifizieren
Anforderungs-Katalog für Lieferanten — der ISO-27002-Katalog wird als Mindeststandard in Verträge geschrieben
Awareness-Curricula — die Kontrollen bilden ein logisches Gerüst für Mitarbeiter-Schulungen
Vorstufe zur Zertifizierung — gradueller Aufbau über mehrere Jahre, bevor die formale ISO-27001-Zertifizierung angestrebt wird

Weiterführende Links

Häufige Fragen

Brauche ich ISO 27002, wenn ich ISO 27001 implementiere?: Ja, ISO 27002 ist faktisch die Bauanleitung zu jeder ISO-27001-Implementierung. ISO 27001 verlangt die Umsetzung der ausgewählten Annex-A-Controls, gibt aber nur einen Halbsatz pro Control vor. ISO 27002 liefert für jede Maßnahme ein Kapitel mit Zweck, Implementierungs-Leitfaden und ergänzenden Informationen — und ist daher fester Bestandteil jedes ISMS-Projekts.
Was sind die fünf Attribute der ISO 27002:2022?: Die aktuelle Fassung ergänzt jede Kontrolle um fünf Attribute, mit denen sie gefiltert und auf andere Frameworks gemappt werden kann — Kontrolltyp (preventive, detective, corrective), Informationssicherheits-Eigenschaft (Confidentiality, Integrity, Availability), Cybersecurity-Konzept (Identify, Protect, Detect, Respond, Recover gemäß NIST CSF), operative Fähigkeit (Governance, Asset Management, etc.) und Sicherheitsdomäne (Governance and Ecosystem, Protection, Defence, Resilience).
Was hat sich in ISO 27002:2022 gegenüber 27002:2013 geändert?: Die Anzahl der Kontrollen wurde von 114 auf 93 reduziert, die Struktur von 14 Domänen auf 4 Themengruppen vereinfacht. Elf Kontrollen sind neu — darunter Threat Intelligence, Informationssicherheit für Cloud-Dienste, ICT-Readiness for Business Continuity, Physical Security Monitoring, Configuration Management, Information Deletion, Data Masking, Data Leakage Prevention, Monitoring Activities, Web Filtering und Secure Coding. 24 Kontrollen wurden zusammengeführt, der Rest wurde inhaltlich aktualisiert.
Kann man sich nach ISO 27002 zertifizieren?: Nein, ISO 27002 ist kein zertifizierungsfähiger Standard — er ist explizit als Leitfaden konzipiert. Die Zertifizierung erfolgt nach ISO 27001; ISO 27002 ist der Hintergrund-Standard, der die in 27001 geforderte Umsetzung der Annex-A-Controls inhaltlich beschreibt.
Wie verhält sich ISO 27002 zu BSI IT-Grundschutz und NIST CSF?: ISO 27002 ist der internationale Standard für Sicherheitskontrollen und international weit verbreitet. BSI IT-Grundschutz ist die deutsche Alternative mit detaillierteren Bausteinen und einem stärker prozessorientierten Ansatz. NIST CSF ist ein US-Framework mit fünf funktionalen Säulen (Identify, Protect, Detect, Respond, Recover). Die fünf Attribute der ISO 27002:2022 erlauben ein direktes Mapping auf NIST-CSF-Funktionen — für Unternehmen mit globalen Compliance-Anforderungen ein wichtiger Vorteil.