ISO/IEC 27002:2022 ist der Praxisleitfaden zu ISO 27001 — die Bedienungsanleitung für die 93 Sicherheits-Controls in Annex A. Als Lead Manager wählen Sie die richtigen Controls aus, implementieren sie wirksam und messen ihren Wertbeitrag operativ.
Die ISO 27002 Lead Manager-Zertifizierung dreht sich um die operative Sicherheits-Steuerung: Welche Controls passen zu welchen Risikoszenarien, wie werden sie wirksam implementiert, und wie misst man ihren Wertbeitrag im Alltag. Im Unterschied zur ISO 27001 (die das Managementsystem beschreibt) liefert ISO/IEC 27002 die granularen Implementierungs-Leitlinien — also die Schicht, in der Sicherheitsmassnahmen wirklich entstehen.
Die 2022er-Revision strukturiert die Controls in vier Themenfelder (organisatorisch, personell, physisch, technologisch) statt der früheren 14 Kategorien. Lead Manager vermittelt diese neue Logik und gibt Ihnen das Werkzeug, Controls passgenau auf Risiken zuzuordnen — ohne in das Checklisten-Denken zu verfallen, das Audits scheitern lässt. Lernaufwand: 50–70 Stunden Self-Study.
Lead Manager richtet sich an Praktiker, die Sicherheits-Controls operativ verantworten — die Stufe zwischen strategischem ISMS-Aufbau (Lead Implementer) und granularer technischer Umsetzung.
Sie verantworten den operativen Betrieb der Sicherheits-Controls — Access Management, Logging, Backup, Incident Response.
Sie wollen die Annex-A-Controls vertieft anwenden, ohne den vollen Lead-Implementer-Lebenszyklus zu lernen.
Sie übersetzen Risikoszenarien in Controls-Auswahlentscheidungen.
Sie bauen Controls-Frameworks für KMU und brauchen die fundierte ISO-27002-Basis.
Sie wollen tiefer einsteigen, wie Sicherheits-Controls praktisch funktionieren — nicht nur, wie sie auditiert werden.
Das Lead-Manager-Programm gliedert sich nach den 4 ISO-27002:2022-Themenfeldern. Jedes Modul vertieft eine Domäne und zeigt die Schnittstellen zu den anderen.
Aufbau der neuen Norm, Mapping zur Vorgängerversion 27002:2013, Bezug zu ISO 27001 Annex A, Schnittstellen zu NIST CSF, CIS Controls, BSI IT-Grundschutz.
37 Controls rund um Policies, Verantwortlichkeiten, Risikomanagement, Lieferanten, Compliance — die Backbone-Schicht jedes ISMS.
8 personelle Controls (Hiring, Trennungs-Prozesse, Awareness) und 14 physische Controls (Zutritt, Verkabelung, sichere Bereiche).
34 Controls rund um Endpoint, Identitäten, Netzwerke, Kryptographie, sichere Entwicklung, Logging — die Disziplin, in der ein Grossteil der KMU Lücken hat.
Metriken, KPIs, Maturity-Modelle — wie Sie die Wirksamkeit der Controls über Zeit messen und im Management-Review berichten.
Praxiserfahrung in IT-Security oder im ISMS-Umfeld wird empfohlen. ISO 27001 Foundation hilft, ist aber nicht zwingend.
Sie buchen Termin und Uhrzeit direkt beim PECB-Exam-Portal. Die Prüfung wird durch einen Online-Proctor beaufsichtigt — Sie brauchen einen ruhigen Raum mit Webcam und stabiler Internetverbindung. Ergebnisse erhalten Sie innert 4–8 Wochen, das Zertifikat anschliessend als digitales Badge plus PDF.
Lead Manager ist die ideale Zertifizierung für die Schicht zwischen strategischem ISMS und operativer IT-Security. In Stellenausschreibungen für IT-Security-Manager oder Security-Architect-Rollen wird sie zunehmend explizit verlangt.
Lead Implementer fokussiert auf das ISMS als Managementsystem (Klauseln 4–10 von ISO 27001). Lead Manager geht in die Tiefe der 93 Controls aus ISO 27002. In der Praxis ergänzen sich beide: Implementer für die Strategie, Manager für die Umsetzung.
Wenn Ihre Rolle strategisch ist (CISO, ISMS-Verantwortlicher), reicht Lead Implementer. Wenn Sie operativ Sicherheits-Controls verantworten (IT-Security-Manager), ist Lead Manager passender. Wer beide Welten verbindet, kombiniert beide.
Sehr aktuell. Die neue Struktur (4 statt 14 Kategorien, 93 statt 114 Controls) hat sich noch nicht überall durchgesetzt — viele Unternehmen sind in der Transition. Wer jetzt zertifiziert, ist klar auf dem aktuellen Stand.
Ja, indirekt. Beide EU-Regulatorien verweisen auf ISO 27001/27002 als anerkannten Stand der Technik. Die Controls aus ISO 27002 sind eine solide Brücke zu NIS2- und DORA-Anforderungen.