Die wesentlichen Anpassungen der ISO/IEC 27001:2022

Die Digitalisierung unserer Gesellschaft schreitet voran. Sie ermöglicht den Transfer und die Bereitstellung von Informationen und Daten. Dies stellt unverzichtbare Anforderungen an die Abwehr von Cyberangriffen, die Verhinderung von Datenmanipulationen und den Verlust von Daten.

Aktualisierte Sicherheitsmaßnahmen: ISO/IEC 27001:2022

Die aktuelle Version der ISO 27001 stammt aus dem Jahr 2013. Die Bedrohungslage hat sich erheblich verändert. Der Schutzbedarf kritischer Infrastrukturen ist stark gestiegen. Der Datentransfer hat sich in betrieblichen Abläufen etabliert.

Die ISO/IEC 27001:2022 enthält neue Anforderungen an Sicherheitsmaßnahmen. Diese sollen die drei wesentlichen Schutzziele sicherstellen: Vertraulichkeit, Integrität und Verfügbarkeit.

Änderungen an Anhang A und Umsetzungsleitfaden

Es gibt wesentliche Änderungen an Anhang A der ISO 27001:2022 („Informationssicherheitsmaßnahmen“) und dem Umsetzungsleitfaden ISO 27002:2022. Beide sind überarbeitet worden. Die Sicherheitsmaßnahmen wurden neu gruppiert, präzisiert, ergänzt und einige gestrichen, um dem jetzigen Stand der Technik zu entsprechen.

Der Anhang A enthielt 114 Maßnahmen. Diese waren in 14 Abschnitte gegliedert. Sie sollten zur Behandlung von Informationssicherheitsrisiken genutzt werden. Die nun 93 Informationssicherheitsmaßnahmen wurden den vier folgenden Themenbereichen zugeordnet:

A.5 Organisatorische Maßnahmen (mit 37 Maßnahmen)

A.6 Personenbezogene Maßnahmen (mit 8 Maßnahmen)

A.7 Physische Maßnahmen (mit 14 Maßnahmen)

A.8 Technische Maßnahmen (mit 34 Maßnahmen)

Ergänzend hierzu wurde die Anforderungen des Normkapitels 6.1.3 präziserer formuliert und referenzieren weiterhin auf die Informationssicherheitsmaßnahmen im Anhang A.

Organisationen müssen ihre Anforderungen erfüllen. Dazu müssen sie ihre Anwendbarkeitserklärung anpassen. Außerdem muss die Risikobeurteilung überarbeitet werden. Die Informationssicherheitsmaßnahmen müssen bewertet und umgesetzt werden.

Des Weiteren wurde die ISO 27001:2022 mit der „Harmonized Structure“ (HS) bestehenden ISO-Managementsysteme in Einklang gebracht.

Kapitel 4.4 bespricht die Anforderung, Prozesse und Wechselwirkungen eines ISMS zu bestimmen. Diese sind notwendig, um das ISMS umzusetzen und aufrechtzuerhalten.
Kapitel 5.3 wurde aktualisiert. Verantwortlichkeiten und Befugnisse für Rollen, die mit Informationssicherheit verbunden sind, müssen innerhalb der Organisation bekannt gemacht werden.

Die Normkapitel 9.2 Internes Audit und 9.3 Managementbewertung wurden an die Harmonized Structure angepasst. Kapitel 9.2 untergliedert sich nun in 9.2.1 und 9.2.2. Das Kapitel 9.3 wurde in die drei Untergliederungen 9.3.1, 9.3.2 und 9.3.3 unterteilt.
Die Reihenfolge der Kapitel 10.1 und 10.2 wurde an die Harmonized Structure angepasst. Somit wird die Wichtigkeit der fortlaufenden Verbesserung (kontinuierlichen Verbesserungsprozesses (KVP) stärker verdeutlich. Der Umgang mit Nichtkonformitäten und Korrekturmaßnahmen im Kapitel 10.2 beinhaltet keine weiteren inhaltliche Änderungen.

Umstellung und Zeitplan

Die neue Version von ISO/IEC 27001 wurde am 25. Oktober 2022 veröffentlicht. Der Zeitplan für die Umstellung beträgt drei Jahre. Aktuelle ISO 27001-Zertifikate verlieren am 31.10.2025 ihre Gültigkeit. Kiwa hilft Ihnen bei der Umstellung auf die neue Version ISO 27001:2022.

Die Umstellungsaudits können im Rahmen eines beliebigen geplanten Audits innerhalb des dreijährigen Übergangszeitraums durchgeführt werden. Es kann aber auch als spezielles Umstellungsaudit durchgeführt werden.

Nach dem 30.04.2024 dürfen Erst- und Re-Zertifizierung nur noch nach der neuen ISO 27001:2022 durchgeführt werden. In den Überwachungsaudits, die nach dem 30.04.2024 stattfinden, sollten im Rahmen eines Überwachungsaudits auf die ISO 27001:2022 umgestellt werden. Anderenfalls wird Ihr Zertifikat automatisch am 31.10.2025 ungültig.

Die Kiwa International Cert GmbH hat die Akkreditierung auf die neue Normversion erhalten und kann Zertifikate nach ISO 27001:2022 ausstellen.

Vorbereitungen für die Implementierung

 

Beginnen Sie so früh wie möglich mit den Vorbereitungen für die Umstellung. Integrieren Sie die notwendigen Änderungen in Ihr Managementsystem.

Empfohlene Schritte für die Umstellung:

• Machen Sie sich mit den Inhalten und Anforderungen des neuen Standards vertraut. Konzentrieren Sie sich auf die Änderungen, die der überarbeitete Standard mit sich bringt.
• Stellen Sie sicher, dass die Mitarbeiter in Ihrer Organisation geschult sind. Sorgen Sie dafür, dass sie die Anforderungen und Änderungen verstehen.
• Ermitteln Sie Lücken, die geschlossen werden müssen. Erfüllen Sie die neuen Anforderungen. Erstellen Sie einen Umsetzungsplan.
• Setzen Sie Maßnahmen um und aktualisieren Sie Ihr Managementsystem, um die neuen Anforderungen zu erfüllen.