ISO 27001:2022: Der neue Standard für Informationssicherheit 

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er bietet Organisationen einen Rahmen, um ihre Risiken im Bereich Informationssicherheit und den Schutz sensibler Daten zu managen. 

Die neueste Version der ISO 27001 enthält mehrere Änderungen, die die Norm relevanter für die aktuelle Bedrohungslage macht und Organisationen noch besser dabei unterstützen soll, ihre Informationssicherheit zu verbessern. 

Warum ist der Übergang zur ISO 27001:2022 wichtig? 

Es gibt eine Reihe von Gründen, warum es für Ihre Organisation wichtig ist, zur ISO 27001:2022 überzugehen: 

• dem neuesten internationalen Standard für Informationssicherheit entsprechen 

• sensible Daten vor Cyberbedrohungen schützen 

• Kunden, Partnern und anderen Stakeholdern zeigen, dass sich Ihre Organisation der Informationssicherheit verpflichtet 

• die allgemeinen Risikomanagementprozesse optimieren 

• das Risiko von Datenverstößen und anderen Vorfällen reduzieren 

• die betriebliche Effizienz und Effektivität steigern 

• die Vertraulichkeit, Integrität und Verfügbarkeit von Daten weiter verbessern

Das könnte Sie auch interessieren: ISO 27001 Guide: Ihr Leitfaden für die Implementierung  

ISO 27001:2022 Übergangszeitplan

Der Übergangszeitraum für ISO 27001:2022 hat am 31. Oktober 2022 begonnen und endet nach 36 Monaten am 31. Oktober 2025. In dieser Übergangsphase haben Organisationen, die bereits nach ISO 27001:2013 zertifiziert sind, drei Jahre Zeit, um die Zertifizierung nach ISO 27001:2022 zu erhalten. Bis dahin können sie mit ihrer bestehenden Zertifizierung arbeiten und im Übergangszeitraums jederzeit zur neuen Version übergehen. Nach dem 31. Oktober 2025 sind Zertifizierungen nach ISO 27001:2013 nicht mehr gültig. 

Die Fristen für den Übergang sind somit üblich, da sie dem gewohnten Re-Zertifizierungsrhythmus entsprechen, den ISO 27001 ohnehin vorsieht. Dementsprechend müssen zertifizierte Unternehmen alle drei Jahre einen erneuten Auditprozess durchlaufen, um ihre Zertifizierung aufrechtzuerhalten. 

Wenn Sie bereits über eine Zertifizierung nach ISO 27001:2013 verfügen, haben Sie somit mehrere Möglichkeiten, die neue ISO 27001-2022-Zertifizierung zu erhalten. Je nachdem wo Sie sich aktuell in Ihrem Zertifizierungsrhythmus befinden, können Sie ein zusätzliches Übergangsaudit oder ein Übergangsaudit zusammen mit Ihrem jährlichen Überprüfungsaudit oder mit Ihrem Re-Zertifizierungsaudit durchführen. 

Der Übergangszeitraum wurde konzipiert, um Organisationen ausreichend Zeit zur Implementierung der von ISO 27001:2022 geforderten Änderungen zu geben. Da der Prozess jedoch komplex und je nach Umfang aufwändig sein kann, sollten Sie frühzeitig mit der Planung beginnen. Falls Sie noch keine Zertifizierung nach ISO 27001 haben, wird Ihre Erst-Zertifizierung direkt nach der neuen 2022er-Version stattfinden.  

Was sind die wesentlichen Änderungen in ISO 27001:2022?

Die neue Version von ISO 27001 bringt einige Änderungen mit sich. Erfahren Sie, wie diese die Informationssicherheit in Ihrer Organisation verbessern können.

Ein Fokus auf risikobasiertes Denken  
Die überarbeitete Norm legt einen stärkeren Fokus auf risikobasiertes Denken, betont die Bedeutung von Menschen und Unternehmenskultur und führt neue Kontrollen zur Bewältigung aufkommender Bedrohungen ein. Diese Änderungen sollen Organisationen helfen, ihre Informationssicherheit effektiver zu managen. 

Eine stärkere Betonung der Bedeutung von Menschen und der Unternehmenskultur  
Die neue Norm erkennt an, dass Menschen ein entscheidender Bestandteil eines jeden Informationssicherheitsprogramms sind, und betont die Wichtigkeit, eine Kultur der Informationssicherheit innerhalb von Organisationen zu schaffen. Hierzu gehören Mitarbeiterschulungen zu Best Practices der Informationssicherheit und die Förderung einer sicherheitsbewussten Denkweise in der gesamten Organisation. 

Verstärkter Fokus auf die Prozessorientierung 
Ein wesentlicher Bestandteil der neuen Version ist der verstärkte Fokus auf die Prozessorientierung. Die Norm fordert eine enge Verknüpfung der Informationssicherheitsmaßnahmen und -prozesse mit den Geschäftsprozessen der Organisation. Dies soll sicherstellen, dass Informationssicherheit ein integraler Bestandteil des täglichen Betriebs wird und nicht als isolierte Aufgabe betrachtet wird. 

Die Einführung neuer Kontrollen zur Bewältigung aufkommender Bedrohungen
ISO 27001:2022 enthält eine Reihe neuer Kontrollen, um aufkommende Bedrohungen wie Social Engineering und Cloud-Computing effektiv zu bewältigen. Diese Kontrollen sollen Organisationen dabei helfen, den neuesten Bedrohungen einen Schritt voraus zu sein und wichtige Assets zu schützen. 

Eine neue Gliederung der Norm 
In der neuen Version des Standards ändert sich die Aufteilung der Anhang-A-Kontrollen. Sie werden in kleinere Gruppen danach aufgeteilt, welchen Unternehmensbereich sie am meisten schützen. Dies vereinfacht die zuvor kompliziertere Aufteilung in 14 Kontrollgruppen. 

Wie ändern sich die einzelnen Abschnitte in ISO 27001:2022? 

Im Folgenden erfahren Sie, welche Aspekte sich in den einzelnen Abschnitten der neuen ISO 27001:2022 ändern. 

Kontext und Anwendungsbereich 
Die Anwendungsbereichsklausel gilt nun für „relevante“ Anforderungen interessierter Parteien und notwendiger Prozesse. Das bedeutet, dass Organisationen die Bedürfnisse all ihrer Stakeholder berücksichtigen müssen, nicht nur die ihrer Kunden und Lieferanten. 

Planung 
In der überarbeiteten Version fordert die Planungsklausel, dass Organisationen ihre Ziele für die Informationssicherheit definieren und regelmäßig überwachen und überprüfen. Dies ist eine Änderung gegenüber der früheren Version, die lediglich verlangte, dass Organisationen ihre Richtlinien zur Informationssicherheit definieren. 

Unterstützung 
Die aktualisierte Unterstützungsklausel verlangt, dass Organisationen klare Kommunikationswege für Sicherheitsrisiken etablieren. Dies beinhaltet die regelmäßige Schulung der Mitarbeiter und die Sicherstellung, dass alle relevanten Informationen zu Sicherheitsrisiken effektiv kommuniziert werden. 

Durchführung 
Die Durchführungsklausel wurde erweitert, um sicherzustellen, dass Organisationen auch „extern erbrachte Prozesse, Produkte oder Dienstleistungen” kontrollieren, die für ihr ISMS relevant sind. Diese Änderung betont die Notwendigkeit einer umfassenden Kontrolle über alle Informationssicherheitsaspekte, einschließlich externer Partner und Lieferanten. 

Die neue Struktur der Anhang-A-Kontrollen in ISO 27001:2022

Die neue Struktur der Anhang-A-Kontrollen ist eine deutliche Verbesserung gegenüber der vorherigen Version. Sie erleichtert es Organisationen, ein effektives Informationssicherheits-Managementsystem zu implementieren und ihre Assets vor Bedrohungen zu schützen. 

Die Kontrollen sind in die vier Säulen der Informationssicherheit gegliedert 

Die Struktur folgt den vier Säulen der Informationssicherheit und umfasst somit organisatorische, personenbezogene, physische und technologische Kontrollen. Dies ist eine deutliche Verbesserung gegenüber der vorherigen Version, die 14 Kontrolldomänen hatte. Die neue Struktur soll es Organisationen erleichtern, die für ihre Bedürfnisse relevantesten Kontrollen auszuwählen und umzusetzen. 

• Die organisatorische Kategorie umfasst 37 Kontrollen, die die allgemeine Verwaltung der Informationssicherheit in einer Organisation behandeln, wie die Festlegung einer Informationssicherheitsrichtlinie und die Durchführung von Risikobewertungen. 

• Die personenbezogene Kategorie enthält 8 Kontrollen zur Rolle von Personen in der Informationssicherheit, wie die Schulung von Mitarbeitern zu den Best Practices der Informationssicherheit, die Durchführung von Background-Checks bei Neueinstellungen und die Zugangsverwaltung von Benutzern zu sensiblen Informationen. 

• Die physische Kategorie fasst 14 Kontrollen zusammen, die die physische Sicherheit von Informationswerten behandeln, wie die Sicherung von Gebäuden und Einrichtungen, den Schutz von Computerräumen und die Entsorgung sensibler Dokumente. 

• Die technologische Kategorie beinhaltet 34 Kontrollen bezüglich technologischer Aspekte der Informationssicherheit, wie die Implementierung von Firewalls und Antivirensoftware, die Verschlüsselung von Daten und die Verwaltung des Zugriffs auf Informationssysteme. 

ISO 27001:2022 enthält elf neue Kontrollen

Zusätzlich zur neuen Struktur enthält ISO 27001:2022 auch elf neue Kontrollen. Sie sind darauf ausgelegt, vor neuen Bedrohungen wie Cloud-Computing und Social Engineering zu schützen. Die neuen Kontrollen sollen auch die Effektivität von Informationssicherheits-Managementsystemen verbessern, indem sie Organisationen mehr Optionen zur Risikominderung bieten. 

Die folgenden Kontrollen wurden neu eingeführt: 

• Bedrohungsinformationen: Informationen über potenzielle Bedrohungen der Informationssicherheit sammeln und analysieren, um Risiken zu mindern 

• Informationssicherheit bei der Nutzung von Cloud-Diensten: Risiken, die mit der Nutzung von Cloud-Diensten verbunden sind, bewerten und managen 

• ICT-Bereitschaft für die Geschäftskontinuität: Sicherstellen, dass Informations- und Kommunikationstechnologiesysteme (ICT) im Falle von Störungen widerstandsfähig und betriebsbereit bleiben 

• Physische Sicherheitsüberwachung: Die physischen Sicherheitssysteme kontinuierlich überwachen, um Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren 

• Konfigurationsmanagement: Die Konfiguration der Informationssysteme managen, um zu gewährleisten, dass sie sicher sind 

• Informationen löschen: Sensible Informationen sicher löschen, wenn sie nicht mehr benötigt werden 

• Datenmaskierung: Sensible Informationen anonymisieren, um unbefugten Zugriff zu verhindern 

• Datenlecks verhindern: Verhindern, dass sensible Informationen außerhalb der Organisation geleakt werden 

• Aktivitäten überwachen: Sicherheitsrelevante Aktivitäten kontinuierlich überwachen, um Bedrohungen zu erkennen 

• Webfilterung: Den Zugriff auf Web-Inhalte kontrollieren, um den Zugriff auf böswillige Websites zu verhindern 

• Sichere Codierung: Sicheren Code entwickeln und verwenden, um die Informationssysteme zu schützen
  
  

Mit der Einführung dieser neuen Anhang-A-Kontrollen könnten Organisationen je nach Risikoeinschätzung und Anforderungen dazu verpflichtet sein, mehr als 15 neue ISMS-Dokumente, Richtlinien und Verfahren in ihr ISMS zu integrieren.

Ihre Roadmap für den Übergang zur ISO 27001:2022

Der Übergang zur ISO 27001:2022 kann eine anspruchsvolle Aufgabe sein. Indem Sie einer strukturierten Roadmap folgen, können Sie den Übergang vereinfachen und den neuen Standard erfolgreich umsetzen. 

Hier sind die wichtigsten Schritte auf Ihrer Roadmap: 

• Sensibilisierung schaffen: Der erste Schritt besteht darin, in Ihrer Organisation Bewusstsein für den Übergang zu schaffen. Dies beinhaltet, die Vorteile des neuen Standards und den Zeitplan für den Übergang zu kommunizieren. Indem Sie Schulungen durchführen, können sich Ihre Mitarbeitenden mit den aktualisierten Anforderungen, Kontrollen und Konzepten vertraut machen. 

• Change-Management-Prozess anwenden: Ein wesentlicher Schritt in der Roadmap ist die Anwendung des definierten Change Managements. Dieser Prozess stellt sicher, dass alle Änderungen, die zur Erfüllung der neuen Anforderungen notwendig sind, systematisch und kontrolliert durchgeführt werden. 

• Eine Änderungs- und Gap-Analyse durchführen: Die Durchführung einer Änderungs- und Gap-Analyse hilft Ihnen dabei, die Bereiche zu identifizieren, in denen Ihr aktuelles Informationssicherheits-Managementsystem aktualisiert werden muss, um den Anforderungen von ISO 27001:2022 zu entsprechen. 

• Die Dokumentation überprüfen und aktualisieren: Nachdem Sie die Lücken identifiziert haben, müssen Sie Ihre ISMS-Dokumentation überprüfen und aktualisieren. Dazu gehören neben Ihren Dokumenten auch Richtlinien und Verfahren. 

• Ein internes Audit durchführen: Führen Sie ein internes Audit durch, sobald Ihre Dokumentation aktualisiert ist. Damit stellen Sie sicher, dass Ihr ISMS den Anforderungen des neuen Standards entspricht. 

• Management-Review durchführen: Eine Management-Review ist ein kritischer Bestandteil des Übergangsprozesses. Das Top-Management sollte das ISMS regelmäßig überprüfen, um sicherzustellen, dass es weiterhin geeignet, angemessen und wirksam ist. 

• Übergangsaudit durchführen: Nachdem Sie alle Lücken behoben haben, können Sie das Übergangsaudit durchführen. Dies ist eine abschließende Überprüfung, um sicherzustellen, dass Ihr ISMS den Anforderungen des neuen Standards entspricht. 

• Kontinuierliche Verbesserung aufrechterhalten: Nach dem Übergang zur ISO 27001:2022 ist es wichtig, Ihr ISMS fortlaufend zu verbessern. Dafür sollten Sie Ihr ISMS regelmäßig überprüfen, um sicherzustellen, dass es immer noch effektiv ist und Ihre Assets vor neuen Bedrohungen schützt. 

Tipps für einen erfolgreichen und reibungslosen Übergang  

Neben der Roadmap gibt es einige weitere Tipps, die sie befolgen können, um den Übergang zur ISO 27001:2022 erfolgreich zu gestalten.  

Holen Sie sich Unterstützung Ihrer oberen Führungsebene und beziehen Sie durch regelmäßige Kommunikation alle Stakeholder ein, um den Erfolg des Übergangsprozesses sicherzustellen. Es ist zudem hilfreich, sich realistische Ziele und Meilensteine zu setzen, um den zeitlichen Rahmen einzuhalten.  

Nutzen Sie den Übergang als Gelegenheit, Ihre gesamten ISMS-Prozesse zu optimieren und die Bedeutung der Informationssicherheit für Ihre Mitarbeitenden und Stakeholder zu kommunizieren. Durch eine proaktive Herangehensweise an die Übergangsphase erreichen Sie nicht nur Compliance mit der neuesten Version des ISO 27001-Standards, sondern können die gesamte Informationssicherheitshaltung Ihres Unternehmens verbessern.