Die neue ISO 27001:2022 – das ändert sich

#1 Namensänderung

Die ISO 27001:2013 trägt den Titel „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“.

Die neue ISO-Version hingehen heißt „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“.

Die Aufnahme des Datenschutzes in dem Namen ist neu. Für uns ist die Ergänzung nicht überraschend, da Informationssicherheit und Datenschutz – auch wenn sie unterschiedliche Perspektiven einnehmen – sehr ähnliche Ziele verfolgen und bestenfalls kooperativ umgesetzt werden.

#2 Aktualisierte Sicherheitskontrollen

Die im Anhang A aufgeführte Maßnahmen („Controls“) wurden aktualisiert und neu strukturiert. Dabei wurde die Zahl der Controls von 114 auf 93 reduziert. Die Controls sind in der ISO 27001:2022 in vier statt wie bisher in 14 Abschnitte unterteilt:

• Organisatizational Controls (37 Maßnahmen)
• People Controls (8 Maßnahmen)
• Physical Controls (14 Maßnahmen)
• Technological Controls (34 Maßnahmen)

Neu hinzugekommen sind folgende elf Maßnahmen:

• A.5.7 Threat intelligence
• A.5.23 Information security for use of cloud services
• A.5.30 ICT readiness for business continuity
• A.7.4 Physical security monitoring
• A.8.9 Configuration management
• A.8.10 Information deletion
• A.8.11 Data masking
• A.8.12 Data leakage prevention
• A.8.16 Monitoring activities
• A.8.23 Web filtering
• A.8.28 Secure coding

Zusätzlich zu den neuen Maßnahmen und der neuen Struktur wird nun jede Maßnahme in fünf verschiedene Attribute eingestuft:

• Kontrolltyp
• Eigenschaft der Informationssicherheit
• Cybersicherheitskonzepte
• Operative Fähigkeiten
• Sicherheitsdomänen

#3 Redaktionelle Änderungen in der ISO 27001:2022

In Abschnitt 6.1.2 hat sich der Wortlaut geändert, da die deutsche Version noch nicht vorliegt, hier die Änderung in der englischen Fassung:

• In den Anmerkungen unter 6.1.3.c) wurden die Kontrollziele („control objectives“) gestrichen und „control“ wurde durch „information security control“ ersetzt.
• Der Wortlaut von Abschnitt 6.1.3 d) wurde neu gegliedert, um mögliche Ambiguitäten zu vermeiden.
• Das Management-Review wurde um Input und Ergebnisse erweitert.

Was bedeutet die Veröffentlichung der neuen ISO 27001-Version für Unternehmen?

Die Änderungen sind zwar bemerkbar, erfordern jedoch keinen komplett neuen Umgang mit dem Thema Informationssicherheit oder großartige Veränderungen an einem bereits bestehenden Informationssicherheits-Managementsystem. Vielmehr repräsentieren sie längst überfällige Anpassungen an das wachsende Verständnis von Informationssicherheit.

Die neue ISO 27001:2022 ist in ihren wesentlichen Aussagen und Anforderungen identisch zur Vorgängerversion.

Alle Übergangsfristen im Überblick

Die ISO 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Zudem ist die Übergangsfrist auf drei Jahre (36 Monate) festgelegt worde. Daraus ergeben sich für Normanwender folgende Zeiträume und Fristen für den Übergang:

• Zertifizierungsbereitschaft nach ISO/IEC 27001:2022
  -> voraussichtlich ab Februar ‑ April 2023
      (abhängig von der Deutschen Akkreditierungsstelle GmbH)
• Letzter Termin für Erstzertifizierungsaudits nach der früheren ISO 27001:2013
  -> Bis spätestens Ende Oktober 2023
• Umstellung aller bestehenden Zertifikate auf die neue ISO/IEC 27001:2022
  -> 3 Jahre, bezogen auf letzten Tag des Ausgabemonats von
      ISO/IEC 27001:2022 (Oktober 2025)

Die Fristen für den Übergang sind ISO-üblich. Sie entsprechen dem Re-Zertifizierungsrhythmus, den die ISO 27001 ohnehin vorsieht, da zertifizierte Unternehmen alle drei Jahre einen komplett neuen Auditprozess durchlaufen müssen, um ihre Zertifizierung aufrechtzuerhalten.

Für bereits zertifizierte Unternehmen heißt das:

Die Dokumentation für die neuen Controls sollten frühstmöglich angepasst und aktualisiert werden, insbesondere für das Business Continuity Management. Hier sind die Anforderungen an die Dokumentation strenger geworden. Beim nächsten Audit kann das Unternehmen bereits nach der ISO 27001:2022 zertifiziert werden. 

Für noch nicht zertifizierte Unternehmen bedeutet das:

Sollten Unternehmen sich zertifizieren lassen wollen, können sie das nach wie vor nach der alten Version tun. Besser wäre es allerdings – sofern das Audit nach der Zertifizierungsbereitschaft der DAkks geplant ist – direkt die neue Version umzusetzen. Dann muss nach Ablauf der Übergangsfrist keine erneute Auditierung angesetzt werden.

Sie streben eine ISO 27001:2022-Zertifizierung an, brauchen aber Hilfe bei der Umsetzung?

Wir bei DataGuard begleiten bereits über 2.500 Unternehmen auf ihrem Weg zur Compliance. Unsere Informationssicherheitsexperten verfügen über das branchenspezifische Fachwissen zur Einfürhung eines ISMS nach ISO 27001:2022 und begleiten Sie durch interne und externe Audits.

Unterstützt wird der gesamte Prozess durch unsere webbasierte Informationssicherheits-Plattform, die manuelle Prozesse automatisiert und Sie Schritt für Schritt durch das gesamte Projekt führt.

Vereinbaren Sie einfach einen Termin für ein kostenloses, unverbindliches Beratungsgespräch und nehmen Sie den Compliance-Prozess für die ISO 27001 in Angriff.