Die ISO 27001-Norm ist der internationale Standard für die Informationssicherheit – und erhielt erst kürzlich ein umfassendes Update: Auf die DIN ISO 27001:2022.
Sie möchten wissen, wie Sie Ihr bestehendes ISMS auf den neuesten Stand bringen und dafür sorgen, dass Sie auch weiterhin alle Vorgaben sicher einhalten? Sie sind unsicher, in welchem Zeitrahmen Sie die Umstellung erfolgreich über die Bühne bringen müssen?
Dann sind Sie hier genau richtig.
Wir haben uns mit einem echten ISO 27001-Profi – Kyle Tackley, Senior Principle Tech & Privacy bei DataGuard UK – zusammengesetzt und über die ISO 27001:2022 gesprochen: Was wurde im Vergleich zur früheren Version geändert? Was ist zu tun, um bestehende Zertifikate auf die neue Norm umzustellen? Wie kann ich das möglichst schnell bewerkstelligen? Das sind seine wichtigsten Erkenntnisse:
Wo liegen die Ursprünge der ISO 27001 und warum wurde sie überarbeitet
Grundlage der ISO 27001 war die britische Norm BS 7799-1, die bereits 1995 in Kraft trat. 2005 wurde dann die erste Version der internationalen ISO 27001 veröffentlicht.
Das bislang letzte Update, bei dem sie eingehend geprüft und umfassend überarbeitet wurde, erfuhr diese im Jahr 2013. Das Ergebnis, die ISO 27001:2013, war nun, knapp 10 Jahre nach ihrer Veröffentlichung, jedoch auch nicht mehr auf dem neuesten Stand. Massive Veränderungen der Art, wie wir arbeiten und vielfältige technologische Entwicklungen machten ein erneutes Update der ISO 27001:2013 dringend nötig.
2022 wurde die Norm deshalb erneut überarbeitet. Das inzwischen vierte Update soll die ISO 27001 vor allem mit der modernen Arbeitswelt in Einklang bringen und konzentriert sich deshalb besonders auf Unternehmen, die primär auf Cloud-Technologien setzen („Cloud First“-Unternehmen).
Was sind die wichtigsten Änderungen der ISO 27001:2022 im Vergleich zur ISO 27001:2013?
Beim Update wurden vielfältige Punkte und Details überarbeitet, die meisten und größten Änderungen finden sich jedoch in den Anhängen der Norm. Hier wurden Kontrollmaßnahmen („Controls“) neu geordnet und einige komplett neue Controls eingeführt.
Im Überblick:
- 11 neue Controls wurden hinzugefügt
- 57 Controls wurden zusammengeführt
- 23 Controls wurden umbenannt
- und 3 Controls wurden entfernt
Außerdem wurden folgende Abschnitte überarbeitet:
- Risikomanagement: Die neue Version der Norm unterstreicht die Wichtigkeit des Risikomanagements als Dreh- und Angelpunkt des ISMS. Das äußert sich insbesondere in zusätzlichen Anforderungen für den Kontext der Organisation, die Risikobewertung, Risikobehandlung und Risikoakzeptanz.
- Verpflichtung der Führung: Die ISO 27001:2022 legt größeren Wert darauf, dass die Unternehmensführung in den Aufbau eines ISMS eingebunden wird. Der Standard fordert von Führungskräften, ihren Einsatz für die Informationssicherheit unter Beweis zu stellen, Rollen und Verantwortlichkeiten festzulegen und dafür zu sorgen, dass das ISMS mit allen übrigen Unternehmensprozessen verknüpft wird.
- Überprüfung der Wirksamkeit: Die überarbeitete Norm stellt nun verstärkt Anforderungen in Bezug auf die Überwachung, Messung, Analyse und Bewertung des ISMS. Hierbei geht es vor allem darum, die dauerhafte Wirksamkeit der Informationssicherheits-Prozesse sicherzustellen und diese kontinuierlich zu verbessern.
- Dokumentierte Information: In der ISO 27001:2022 wird der Ausdruck „Dokumentierte Information“ ersetzt durch „Information, die von der Organisation als notwendig für die Wirksamkeit des ISMS erachtet wird“. Hiermit wird auf ein breites Spektrum möglicher Dokumentationsformen verwiesen, darunter digital verfügbare Daten, aber auch mündliche Informationen und Bilder/Darstellungen.
Auf übergeordneter Ebene bleiben die ersten drei Kapitel unverändert, während Kapitel 4 bis 10 mehr oder weniger stark überarbeitet wurden. So wurden zusätzliche Inhalte hinzugefügt und bestehende Inhalte ergänzt. Einige Anforderungen wurden zudem erweitert, so bezieht Kapitel 8.1 beispielweise nun auch „die Kontrolle externer Prozesse, Produkte und Dienstleistungen“ mit ein. Hiermit wird die Organisation verpflichtet, die Informationssicherheit bei allen Produkten und Dienstleistungen, die das ISMS betreffen, zu prüfen – insgesamt eine umfassende Erweiterung dessen, was das Unternehmen laut Norm im Blick zu behalten hat.
Welche Änderungen in den Controls von Anhang A enthält die ISO 27001:2022?
Die vermutlich wichtigste Änderung der Kontrollmaßnahmen (Controls) in Annex A der ISO 27001:2022 ist ihre Zusammenfassung in nur noch vier Themen/Kategorien:
- Menschen (8 Controls)
- Organisatorisch (37 Controls)
- Technologie (34 Controls)
- Physisch (14 Controls)
Was bedeutet das Update für Ihr Unternehmen, wenn Sie bereits nach ISO 27001:2013 zertifiziert sind?
Ganz grundsätzlich gilt: Bereits seit vergangenem Oktober können sich alle Organisationen nach ISO 27001:2022 zertifizieren lassen.
Unternehmen, die derzeit noch nach ISO 27001:2013 zertifiziert sind, müssen bis spätestens zum 31.10.2025 umgestellt haben. Nach aktuellem Stand werden alle alten Zertifizierungen nach ISO 27001:2013 zu diesem Zeitpunkt auslaufen und ihre Gültigkeit verlieren.
Bis dahin sollten alle Organisationen weiter mit ihrem bestehenden ISMS nach ISO 27001:2013 arbeiten und es stetig verbessern – während sie sich gleichzeitig auf das Übergangsaudit vorbereiten. Derzeit besteht zudem die Möglichkeit, ein ISMS noch nach der 2013er-Version neu zertifizieren zu lassen (bis zum 31.10.2024).
Unser Tipp: Je früher Sie sich auf die neue ISO 27001:2022 einstellen, desto besser. So sparen Sie sich nicht nur Zeit und Geld, sondern auch jede Menge Nerven.
Braucht es ein zusätzliches Audit, um von ISO 27001:2013 auf ISO 27001:2022 zu wechseln?
Nicht unbedingt. Organisationen können zwischen drei Varianten wählen, um auf die neue Version der Norm umzustellen. Dabei kommt es vor allem darauf an, an welchem Punkt im Zertifizierungs-Zyklus Sie aktuell stehen. Diese drei Möglichkeiten gibt es:
- zusätzliches Übergangsaudit unabhängig vom ISO 27001 Audit-Zyklus,
- Übergangsaudit zusammen mit dem jährlichen Überprüfungsaudit,
- Übergangsaudit zusammen mit einem Re-Zertifizierungsaudit.
Wichtig: Achten Sie darauf, dass Ihre Zertifizierungsstelle bereits für Audits nach der neuen ISO 27001:2022 akkreditiert ist.
Schritt für Schritt: So wechseln Sie zur ISO 27001:2022
Wenn Sie bereits nach DIN ISO 27001:2013 zertifiziert sind, sollten Sie folgende Schritte unternehmen, um auf die neue Version zu wechseln:
- Machen Sie sich mit den Änderungen vertraut: Lesen Sie die neue ISO 27001:2022 gründlich und machen Sie sich mit den Änderungen im Vergleich zur Version von 2013 vertraut. Achten Sie besonders auf neue Kapitel sowie Änderungen von Anforderungen und verwendeten Begriffen.
- Führen Sie eine Gap-Analyse durch: Gleichen Sie Ihr bestehendes ISMS (Informationssicherheits-Managementsystem) mit den Vorgaben der Norm ab. Identifizieren Sie Lücken (Gaps) und Bereiche, in denen Ihr ISMS nach ISO 27001:2022 aktualisiert und überarbeitet werden muss.
- Aktualisieren Sie Ihre Dokumentation: Überarbeiten und aktualisieren Sie alle relevanten Dokumente entsprechend der neuen Norm, darunter Ihr ISMS-Handbuch, Arbeitsbeschreibungen, Verfahrensanweisungen und Formvorlagen. Stellen Sie sicher, dass die Dokumentation korrekt und vollständig, leicht verfügbar und auf dem neuesten Stand ist.
- Überprüfen Sie den Risikobewertungsprozess: Prüfen Sie Ihren aktuellen Risikobewertungsprozess und aktualisieren Sie ihn, um der aktuellen Bedrohungslandschaft, Schwachstellen sowie rechtlichen und regulatorischen Rahmenbedingungen und unternehmerischen Anforderungen gerecht zu werden. Sorgen Sie dafür, dass Ihr Risikomanagement alle relevanten Bereiche umfassend abdeckt.
Sie wollen diese Schritte nicht alleine gehen? In diesem Fall können wir Ihnen nur empfehlen, mit einem unserer DataGuard-Experten zusammenzuarbeiten. Wir helfen Ihnen nicht nur, alle Schritte durchdacht abzuarbeiten, sondern unterstützen Sie auch mit den entsprechenden Dokumenten, Tools und Know-how, um den Prozess so effizient wie möglich zu gestalten.
Mein Unternehmen ist noch nicht zertifiziert – wie gehe ich am besten vor?
Die ISO 27001:2022 ist ein umfangreiches Rahmenwerk aus Richtlinien und Standardprozessen, mit dem Sie das Risiko eines IT-Sicherheitsvorfalls effektiv verringern. Eine Zertifizierung ist also definitiv ratsam.
Lassen Sie sich nach der ISO 27001:2013 zertifizieren, verliert das Zertifikat jedoch in jedem Fall am 30. April 2024 seine Gültigkeit. Unabhängig davon, wann Sie sich also für die Zertifizierung anmelden, müssen Sie somit bis spätestens zum 31. Oktober 2025 auf die ISO 27001:2022 umstellen. Bereits jetzt eine Zertifizierung nach der neuen 2022er-Norm anzustreben, ist also unbedingt sinnvoll.
Ein Blick in die Zukunft: Wie geht es mit der ISO 27001 weiter?
Wie alle anderen ISO-Normen wird auch die ISO 27001 immer wieder aktualisiert – auch die ISO 27001:2022 wird zukünftig also erneut überarbeitet werden.
Aller Voraussicht nach wird die Zunahme von Cyberbedrohungen dazu führen, dass der Standard immer öfter und in kürzeren Abständen auf seine Wirksamkeit geprüft werden wird. Wir von DataGuard empfehlen daher, Ihr ISMS jederzeit auf dem neuesten Stand zu halten und an die jeweils aktuellsten Anforderungen anzupassen.
Auch die Nutzung von Cloud-Diensten nimmt immer weiter zu. Wir gehen davon aus, dass führende Cloud-Anbieter wie AWS, GCP und Microsoft Azure zukünftig fertige Compliance-Lösungen anbieten werden, die der ISO 27001:2022 entsprechen, darunter Cloud-Konfigurationsprüfungen und Lösungen zur Verhinderung von Datenverlusten.
Sie möchten wissen, wie Ihr DataGuard-Experte Sie beim Wechsel zur ISO 27001:2022 und Ihrem ISO 27001-Audit unterstützen kann? Buchen Sie jetzt Ihr persönliches, unverbindliches Erstgespräch für detaillierte Informationen und erste Ideen für Ihren Weg zum aktuellen Zertifikat.
Roadmap für die Implementierung der ISO 27001
Entdecken Sie den Weg zur ISO 27001 mit unserem E-Book! Erfahren Sie, wie DataGuard Ihnen helfen kann, Vertrauen zu schaffen und Risiken zu minimieren.
Roadmap herunterladen
