Die neue ISO 27001:2022 – das ändert sich

Die internationale Norm ISO 27001 wurde in diesem Jahr erneut überarbeitet und einigen wichtigen und längst überfälligen Änderungen unterzogen. Im Oktober 2022 veröffentlichte das Internation Accreditation Forum (IAF) die neue und verbesserte ISO/IEC 27001:2022. Sie löst die bisher geltende ISO 27001:2013 ab. Was das für Sie bedeutet, erfahren Sie hier.

#1 Namensänderung

Die ISO 27001:2013 trägt den Titel „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“.

Die neue ISO-Version hingehen heißt „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“.

Die Aufnahme des Datenschutzes in dem Namen ist neu. Für uns ist die Ergänzung nicht überraschend, da Informationssicherheit und Datenschutz – auch wenn sie unterschiedliche Perspektiven einnehmen – sehr ähnliche Ziele verfolgen und bestenfalls kooperativ umgesetzt werden.

#2 Aktualisierte Sicherheitskontrollen

Die im Anhang A aufgeführte Maßnahmen („Controls“) wurden aktualisiert und neu strukturiert. Dabei wurde die Zahl der Controls von 114 auf 93 reduziert. Die Controls sind in der ISO 27001:2022 in vier statt wie bisher in 14 Abschnitte unterteilt:

  • Organisatizational Controls (37 Maßnahmen)
  • People Controls (8 Maßnahmen)
  • Physical Controls (14 Maßnahmen)
  • Technological Controls (34 Maßnahmen)

Neu hinzugekommen sind folgende elf Maßnahmen:

  • A.5.7 Threat intelligence
  • A.5.23 Information security for use of cloud services
  • A.5.30 ICT readiness for business continuity
  • A.7.4 Physical security monitoring
  • A.8.9 Configuration management
  • A.8.10 Information deletion
  • A.8.11 Data masking
  • A.8.12 Data leakage prevention
  • A.8.16 Monitoring activities
  • A.8.23 Web filtering
  • A.8.28 Secure coding

Zusätzlich zu den neuen Maßnahmen und der neuen Struktur wird nun jede Maßnahme in fünf verschiedene Attribute eingestuft:

  • Kontrolltyp
  • Eigenschaft der Informationssicherheit
  • Cybersicherheitskonzepte
  • Operative Fähigkeiten
  • Sicherheitsdomänen

#3 Redaktionelle Änderungen in der ISO 27001:2022

In Abschnitt 6.1.2 hat sich der Wortlaut geändert, da die deutsche Version noch nicht vorliegt, hier die Änderung in der englischen Fassung:

  • In den Anmerkungen unter 6.1.3.c) wurden die Kontrollziele („control objectives“) gestrichen und „control“ wurde durch „information security control“ ersetzt.
  • Der Wortlaut von Abschnitt 6.1.3 d) wurde neu gegliedert, um mögliche Ambiguitäten zu vermeiden.
  • Das Management-Review wurde um Input und Ergebnisse erweitert.

Was bedeutet die Veröffentlichung der neuen ISO 27001-Version für Unternehmen?

Die Änderungen sind zwar bemerkbar, erfordern jedoch keinen komplett neuen Umgang mit dem Thema Informationssicherheit oder großartige Veränderungen an einem bereits bestehenden Informationssicherheits-Managementsystem. Vielmehr repräsentieren sie längst überfällige Anpassungen an das wachsende Verständnis von Informationssicherheit.

Die neue ISO 27001:2022 ist in ihren wesentlichen Aussagen und Anforderungen identisch zur Vorgängerversion.

Alle Übergangsfristen im Überblick

Die ISO 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Zudem ist die Übergangsfrist auf drei Jahre (36 Monate) festgelegt worde. Daraus ergeben sich für Normanwender folgende Zeiträume und Fristen für den Übergang:

  • Zertifizierungsbereitschaft nach ISO/IEC 27001:2022
    -> voraussichtlich ab Februar ‑ April 2023
        (abhängig von der Deutschen Akkreditierungsstelle GmbH)
  • Letzter Termin für Erst-/Rezertifizierungsaudits nach der früheren ISO 27001:2013
    -> 18 Monate nach Veröffentlichung der neuen ISO/IEC 27001:2022
  • Umstellung aller bestehenden Zertifikate auf die neue ISO/IEC 27001:2022
    -> 3 Jahre, bezogen auf letzten Tag des Ausgabemonats von
        ISO/IEC 27001:2022 (Oktober 2025)

Die Fristen für den Übergang sind ISO-üblich. Sie entsprechen dem Re-Zertifizierungsrhythmus, den die ISO 27001 ohnehin vorsieht, da zertifizierte Unternehmen alle drei Jahre einen komplett neuen Auditprozess durchlaufen müssen, um ihre Zertifizierung aufrechtzuerhalten.

Für bereits zertifizierte Unternehmen heißt das:

Die Dokumentation für die neuen Controls sollten frühstmöglich angepasst und aktualisiert werden, insbesondere für das Business Continuity Management. Hier sind die Anforderungen an die Dokumentation strenger geworden. Beim nächsten Audit kann das Unternehmen bereits nach der ISO 27001:2022 zertifiziert werden. 

 

Für noch nicht zertifizierte Unternehmen bedeutet das:

Sollten Unternehmen sich zertifizieren lassen wollen, können sie das nach wie vor nach der alten Version tun. Besser wäre es allerdings – sofern das Audit nach der Zertifizierungsbereitschaft der DAkks geplant ist – direkt die neue Version umzusetzen. Dann muss nach Ablauf der Übergangsfrist keine erneute Auditierung angesetzt werden.

Sie streben eine ISO 27001:2022-Zertifizierung an, brauchen aber Hilfe bei der Umsetzung?

Wir bei DataGuard begleiten bereits über 2.500 Unternehmen auf ihrem Weg zur Compliance. Unsere Informationssicherheitsexperten verfügen über das branchenspezifische Fachwissen zur Einfürhung eines ISMS nach ISO 27001:2022 und begleiten Sie durch interne und externe Audits.

Unterstützt wird der gesamte Prozess durch unsere webbasierte Informationssicherheits-Plattform, die manuelle Prozesse automatisiert und Sie Schritt für Schritt durch das gesamte Projekt führt.

Vereinbaren Sie einfach einen Termin für ein kostenloses, unverbindliches Beratungsgespräch und nehmen Sie den Compliance-Prozess für die ISO 27001 in Angriff. 

 
ISO 27001 documentation checklist 212x234 DE ISO 27001 documentation checklist 800x600 MOBILE DE

Alle Dokumente für eine ISO 27001-Zertifizierung

In dieser Checkliste finden Sie eine Übersicht der notwendigen Dokumentation, die Sie für eine Zertifizierung nach ISO 27001 brauchen.

Über den Autor

Larissa Bruns Larissa Bruns
Larissa Bruns

Als Wirtschaftsjuristin verfügt Larissa Bruns über große Kompetenz im Bereich Informationssicherheit und Datenschutz. Nach Ihrem Abschluss als Bachelor of Law an der HTWG Konstanz arbeitete sie zunächst im Legal Management bei der Pro7Sat1 Media Group. Sie ist zertifizierte Datenschutzbeauftragte (TüV) und war bei DataGuard zu Beginn im Colsulting für Datenschutzrecht (Tech Practice) tätig. Inzwischen arbeitet sie durch ihre stetigen Weiterbildungen als Beraterin für Informationssicherheit im Professional Services Team bei DataGuard.

Mehr Artikel ansehen

Lernen Sie DataGuard kennen

Jetzt unverbindlich beraten lassen

Ihre Vorteile auf einen Blick

  • Unterstützung durch Rechtsexperten und umfassende Compliance-Plattform
  • Kontinuierliche Unterstützung auf Ihrem Weg zur ISO 27001 und TISAX-Zertifizierung
  • Vereinfachtes und digitalisiertes Informationssicherheits-Managementsystem (ISMS)
  • Erhöhte Opt-in-Raten durch zentralisiertes Consent & Preference Management
  • Mehr Kundenvertrauen und Wachstum, weniger Risiken

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Externer Informationssicherheitsbeauftragter (ISB) oder Expertenbetreuung auf Augenhöhe
  • Persönlicher Ansprechpartner
  • Vorbereitung auf Ihre Zertifizierung nach ISO 27001 & TISAX®️
  • 100+ Experten aus Recht, Wirtschaft & IT
 

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Über zufriedene Kunden vertrauen unserer bequemen Rundumlösung

Canon  Logo Contact Hyatt Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Escada Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact K Line  Logo Contact

Jetzt Termin vereinbaren

ODER RUFEN SIE UNS AN:(089) 8967 551 000