Umstellung auf ISO 27001:2022

So gelingt der Wechsel:

  • Überblick über alle Änderungen der ISO 27001:2022
  • Schritt-für-Schritt-Anleitung für eine reibungslose Umstellung Ihres ISMS
  • Tipps, um Ihre Informationssicherheit zukunftssicher zu machen
framework_ISO27001_pillar-2

Was ist die ISO 27001:2022?

Die ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS) und wurde im Oktober 2022 nach neun Jahren erstmals grundlegend überarbeitet. Die neue ISO 27001:2022 bringt einige Änderungen für Unternehmen mit sich.

Mit dem notwendigen Wissen und hilfreichen Ressourcen können Sie den Übergang zur ISO 27001:2022 in Ihrer Organisation deutlich erleichtern. Hier finden Sie alle wichtigen Informationen für einen erfolgreichen Übergangsprozess.


Was zeichnet ISO 27001:2022 als neuen Standard für Informationssicherheit aus?

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er bietet Organisationen einen Rahmen, um ihre Risiken im Bereich Informationssicherheit und den Schutz sensibler Daten zu managen.

Die neueste Version der ISO 27001 enthält mehrere Änderungen, die die Norm relevanter für die aktuelle Bedrohungslage macht und Organisationen noch besser dabei unterstützen soll, ihre Informationssicherheit zu verbessern.


Warum ist der Übergang zur ISO 27001:2022 wichtig?

Es gibt eine Reihe von Gründen, warum es für Ihre Organisation wichtig ist, zur ISO 27001:2022 überzugehen:

  • dem neuesten internationalen Standard für Informationssicherheit entsprechen
  • sensible Daten vor Cyberbedrohungen schützen
  • Kunden, Partnern und anderen Stakeholdern zeigen, dass sich Ihre Organisation der Informationssicherheit verpflichtet
  • die allgemeinen Risikomanagementprozesse optimieren
  • das Risiko von Datenverstößen und anderen Vorfällen reduzieren
  • die betriebliche Effizienz und Effektivität steigern
  • die Vertraulichkeit, Integrität und Verfügbarkeit von Daten weiter verbessern

Welchen Übergangszeitplan gibt es für ISO 27001:2022?

Der Übergangszeitraum für ISO 27001:2022 hat am 31. Oktober 2022 begonnen und endet nach 36 Monaten am 31. Oktober 2025. In dieser Übergangsphase haben Organisationen, die bereits nach ISO 27001:2013 zertifiziert sind, drei Jahre Zeit, um die Zertifizierung nach ISO 27001:2022 zu erhalten. Bis dahin können sie mit ihrer bestehenden Zertifizierung arbeiten und im Übergangszeitraums jederzeit zur neuen Version übergehen. Nach dem 31. Oktober 2025 sind Zertifizierungen nach ISO 27001:2013 nicht mehr gültig.

Die Fristen für den Übergang entsprechen dem gewohnten Re-Zertifizierungsrhythmus, den ISO 27001 ohnehin vorsieht. Nach diesem Rhythmus müssen zertifizierte Unternehmen alle drei Jahre einen erneuten Auditprozess durchlaufen, um ihre Zertifizierung aufrechtzuerhalten.

Wenn Sie bereits über eine Zertifizierung nach ISO 27001:2013 verfügen, haben Sie mehrere Möglichkeiten, die neue ISO 27001-2022-Zertifizierung zu erhalten. Je nachdem wo Sie sich aktuell in Ihrem Zertifizierungsrhythmus befinden, können Sie ein zusätzliches Übergangsaudit oder ein Übergangsaudit zusammen mit Ihrem jährlichen Überprüfungsaudit oder mit Ihrem Re-Zertifizierungsaudit durchführen.

Der Übergangszeitraum wurde konzipiert, um Organisationen ausreichend Zeit zur Implementierung der von ISO 27001:2022 geforderten Änderungen zu geben. Da der Prozess jedoch komplex und je nach Umfang aufwändig sein kann, sollten Sie frühzeitig mit der Planung beginnen. Falls Sie noch keine Zertifizierung nach ISO 27001 haben, wird Ihre Erst-Zertifizierung direkt nach der neuen 2022er-Version stattfinden.


Was sind die wesentlichen Änderungen in ISO 27001:2022?

Die neue Version von ISO 27001 bringt einige Änderungen mit sich. Erfahren Sie, wie diese die Informationssicherheit in Ihrer Organisation verbessern können.

Ein Fokus auf risikobasiertes Denken

Die überarbeitete Norm legt einen stärkeren Fokus auf risikobasiertes Denken, betont die Bedeutung von Menschen und Unternehmenskultur und führt neue Kontrollen zur Bewältigung aufkommender Bedrohungen ein. Diese Änderungen sollen Organisationen helfen, ihre Informationssicherheit effektiver zu managen.

Fokus auf die Bedeutung von Menschen und der Unternehmenskultur

Die neue Norm erkennt an, dass Menschen ein entscheidender Bestandteil eines jeden Informationssicherheitsprogramms sind, und betont die Wichtigkeit, eine Kultur der Informationssicherheit innerhalb von Organisationen zu schaffen. Hierzu gehören Mitarbeiterschulungen zu Best Practices der Informationssicherheit und die Förderung einer sicherheitsbewussten Denkweise in der gesamten Organisation.

Verstärkter Fokus auf die Prozessorientierung

Ein wesentlicher Bestandteil der neuen Version ist der verstärkte Fokus auf die Prozessorientierung. Die Norm fordert eine enge Verknüpfung der Informationssicherheitsmaßnahmen und -prozesse mit den Geschäftsprozessen der Organisation. Dies soll sicherstellen, dass Informationssicherheit ein integraler Bestandteil des täglichen Betriebs wird und nicht als isolierte Aufgabe betrachtet wird.

Die Einführung neuer Maßnahmen zur Bewältigung aufkommender Bedrohungen

ISO 27001:2022 enthält eine Reihe neuer Maßnahmen, um aufkommende Bedrohungen wie Social Engineering und Cloud-Computing effektiv zu bewältigen. Diese Maßnahmen sollen Organisationen dabei helfen, den neuesten Bedrohungen einen Schritt voraus zu sein und wichtige Assets zu schützen.

Eine neue Gliederung der Norm

In der neuen Version des Standards ändert sich die Aufteilung der Anhang-A-Controls. Sie werden in kleinere Gruppen danach aufgeteilt, welchen Unternehmensbereich sie am meisten schützen. Dies vereinfacht die zuvor kompliziertere Aufteilung in 14 Kategorien der Maßnahmen.

11_icta_de_top

Bleiben Sie compliant. Reduzieren Sie Risiken. Vereinfachen Sie Ihren Compliance-Weg

DataGuard hilft Ihnen, Datenschutzrisiken zu managen – von der DSGVO bis zum Hinweisgeberschutzgesetz – mit Expertenunterstützung und einer All-in-One-Plattform.

Wie ändern sich die einzelnen Abschnitte in ISO 27001:2022?

Im Folgenden erfahren Sie, welche Aspekte sich in den einzelnen Abschnitten der neuen ISO 27001:2022 ändern.

Kontext und Anwendungsbereich

Die Anwendungsbereichsklausel gilt nun für "relevante" Anforderungen interessierter Parteien und notwendiger Prozesse. Das bedeutet, dass Organisationen die Bedürfnisse all ihrer Stakeholder berücksichtigen müssen, nicht nur die ihrer Kunden und Lieferanten.

Planung

In der überarbeiteten Version fordert die Planungsklausel, dass Organisationen ihre Ziele für die Informationssicherheit definieren und regelmäßig überwachen und überprüfen. Dies ist eine Änderung gegenüber der früheren Version, die lediglich verlangte, dass Organisationen ihre Richtlinien zur Informationssicherheit definieren.

Unterstützung

Die aktualisierte Unterstützungsklausel verlangt, dass Organisationen klare Kommunikationswege für Sicherheitsrisiken etablieren. Dies beinhaltet die regelmäßige Schulung der Mitarbeiter und die Sicherstellung, dass alle relevanten Informationen zu Sicherheitsrisiken effektiv kommuniziert werden.

Durchführung

Die Durchführungsklausel wurde erweitert, um sicherzustellen, dass Organisationen auch "extern erbrachte Prozesse, Produkte oder Dienstleistungen" kontrollieren, die für ihr ISMS relevant sind. Diese Änderung betont die Notwendigkeit einer umfassenden Kontrolle über alle Informationssicherheitsaspekte, einschließlich externer Partner und Lieferanten.

 

Wie ist die neue Struktur der Anhang-A-Controls in ISO 27001:2022?

Die neue Struktur der Anhang-A-Controls ist eine deutliche Verbesserung gegenüber der vorherigen Version. Sie erleichtert es Organisationen, ein effektives Informationssicherheits-Managementsystem zu implementieren und ihre Assets vor Bedrohungen zu schützen.

Die Kontrollen sind in die vier Säulen der Informationssicherheit gegliedert.

Die Struktur folgt den vier Säulen der Informationssicherheit und umfasst somit organisatorische, personenbezogene, physische und technologische Kontrollen.

  • Dies ist eine deutliche Verbesserung gegenüber der vorherigen Version, die 14 Kontrolldomänen hatte. Die neue Struktur soll es Organisationen erleichtern, die für ihre Bedürfnisse relevantesten Kontrollen auszuwählen und umzusetzen.

  • Die organisatorische Kategorie umfasst 37 Kontrollen, die die allgemeine Verwaltung der Informationssicherheit in einer Organisation behandeln, wie die Festlegung einer Informationssicherheitsrichtlinie und die Durchführung von Risikobewertungen.

  • Die personenbezogene Kategorie enthält 8 Kontrollen zur Rolle von Personen in der Informationssicherheit, wie die Schulung von Mitarbeitern zu den Best Practices der Informationssicherheit, die Durchführung von Background-Checks bei Neueinstellungen und die Zugangsverwaltung von Benutzern zu sensiblen Informationen.

  • Die physische Kategorie fasst 14 Kontrollen zusammen, die die physische Sicherheit von Informationswerten behandeln, wie die Sicherung von Gebäuden und Einrichtungen, den Schutz von Computerräumen und die Entsorgung sensibler Dokumente.

  • Die technologische Kategorie beinhaltet 34 Kontrollen bezüglich technologischer Aspekte der Informationssicherheit, wie die Implementierung von Firewalls und Antivirensoftware, die Verschlüsselung von Daten und die Verwaltung des Zugriffs auf Informationssysteme.


ISO 27001:2022 enthält elf neue Maßnahmen

Zusätzlich zur neuen Struktur enthält ISO 27001:2022 auch elf neue Maßnahmen. Sie sind darauf ausgelegt, vor neuen Bedrohungen wie Cloud-Computing und Social Engineering zu schützen.

Die neuen Maßnahmen sollen auch die Effektivität von Informationssicherheits-Managementsystemen verbessern, indem sie Organisationen mehr Optionen zur Risikominderung bieten.

Die folgenden Maßnahmen wurden neu eingeführt:

  • Bedrohungsinformationen: Informationen über potenzielle Bedrohungen der Informationssicherheit sammeln und analysieren, um Risiken zu mindern
  • Informationssicherheit bei der Nutzung von Cloud-Diensten: Risiken, die mit der Nutzung von Cloud-Diensten verbunden sind, bewerten und managen
  • ICT-Bereitschaft für die Geschäftskontinuität: Sicherstellen, dass Informations- und Kommunikationstechnologiesysteme (ICT) im Falle von Störungen widerstandsfähig und betriebsbereit bleiben
  • Physische Sicherheitsüberwachung: Die physischen Sicherheitssysteme kontinuierlich überwachen, um Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren
  • Konfigurationsmanagement: Die Konfiguration der Informationssysteme managen, um zu gewährleisten, dass sie sicher sind
  • Informationen löschen: Sensible Informationen sicher löschen, wenn sie nicht mehr benötigt werden
  • Datenmaskierung: Sensible Informationen anonymisieren, um unbefugten Zugriff zu verhindern
  • Datenlecks verhindern: Verhindern, dass sensible Informationen außerhalb der Organisation geleakt werden
  • Aktivitäten überwachen: Sicherheitsrelevante Aktivitäten kontinuierlich überwachen, um Bedrohungen zu erkennen
  • Webfilterung: Den Zugriff auf Web-Inhalte kontrollieren, um den Zugriff auf böswillige Websites zu verhindern
  • Sichere Codierung: Sicheren Code entwickeln und verwenden, um die Informationssysteme zu schützen

Mit der Einführung dieser neuen Anhang-A-Controls könnten Organisationen je nach Risikoeinschätzung und Anforderungen dazu verpflichtet sein, mehr als 15 neue ISMS-Dokumente, Richtlinien und Verfahren in ihr ISMS zu integrieren.

Preview_240206_ImplementationRoadmap_en 3

Umsetzung der ISO 27001 Controls und Aufbau eines ISMS

• In bis zu 3 Monaten machen wir Sie bereit für das ISO 27001 Audit.
• Reduzieren Sie dabei Ihren manuellen Aufwand um bis zu 75%

Wie bereiten Sie Ihr Unternehmen Schritt für Schritt auf ISO 27001:2022 vor?

Der Übergang zur ISO 27001:2022 kann eine anspruchsvolle Aufgabe sein. Indem Sie einer strukturierten Roadmap folgen, können Sie den Übergang vereinfachen und den neuen Standard erfolgreich umsetzen.

Hier sind die wichtigsten Schritte auf Ihrer Roadmap:

  • Sensibilisierung schaffen: Der erste Schritt besteht darin, in Ihrer Organisation Bewusstsein für den Übergang zu schaffen. Dies beinhaltet, die Vorteile des neuen Standards und den Zeitplan für den Übergang zu kommunizieren. Indem Sie Schulungen durchführen, können sich Ihre Mitarbeitenden mit den aktualisierten Anforderungen, Kontrollen und Konzepten vertraut machen.
  • Change-Management-Prozess anwenden: Ein wesentlicher Schritt in der Roadmap ist die Anwendung des definierten Change Managements. Dieser Prozess stellt sicher, dass alle Änderungen, die zur Erfüllung der neuen Anforderungen notwendig sind, systematisch und kontrolliert durchgeführt werden.
  • Eine Änderungs- und Gap-Analyse durchführen: Die Durchführung einer Änderungs- und Gap-Analyse hilft Ihnen dabei, die Bereiche zu identifizieren, in denen Ihr aktuelles Informationssicherheits-Managementsystem aktualisiert werden muss, um den Anforderungen von ISO 27001:2022 zu entsprechen.
  • Die Dokumentation überprüfen und aktualisieren: Nachdem Sie die Lücken identifiziert haben, müssen Sie Ihre ISMS-Dokumentation überprüfen und aktualisieren. Dazu gehören neben Ihren Dokumenten auch Richtlinien und Verfahren.
  • Ein internes Audit durchführen: Führen Sie ein internes Audit durch, sobald Ihre Dokumentation aktualisiert ist. Damit stellen Sie sicher, dass Ihr ISMS den Anforderungen des neuen Standards entspricht.
  • Management-Review durchführen: Eine Management-Review ist ein kritischer Bestandteil des Übergangsprozesses. Das Top-Management sollte das ISMS regelmäßig überprüfen, um sicherzustellen, dass es weiterhin geeignet, angemessen und wirksam ist.
  • Übergangsaudit durchführen: Nachdem Sie alle Lücken behoben haben, können Sie das Übergangsaudit durchführen. Dies ist eine abschließende Überprüfung, um sicherzustellen, dass Ihr ISMS den Anforderungen des neuen Standards entspricht.
  • Kontinuierliche Verbesserung aufrechterhalten: Nach dem Übergang zur ISO 27001:2022 ist es wichtig, Ihr ISMS fortlaufend zu verbessern. Dafür sollten Sie Ihr ISMS regelmäßig überprüfen, um sicherzustellen, dass es immer noch effektiv ist und Ihre Assets vor neuen Bedrohungen schützt.

Welche Tipps helfen beim erfolgreichen und reibungslosen Übergang?

Neben der Roadmap gibt es einige weitere Tipps, die Sie befolgen können, um den Übergang zur ISO 27001:2022 erfolgreich zu gestalten.

Holen Sie sich Unterstützung Ihrer oberen Führungsebene und beziehen Sie durch regelmäßige Kommunikation alle Stakeholder ein, um den Erfolg des Übergangsprozesses sicherzustellen. Es ist zudem hilfreich, sich realistische Ziele und Meilensteine zu setzen, um den zeitlichen Rahmen einzuhalten.

Nutzen Sie den Übergang als Gelegenheit, Ihre gesamten ISMS-Prozesse zu optimieren und die Bedeutung der Informationssicherheit für Ihre Mitarbeitenden und Stakeholder zu kommunizieren. Durch eine proaktive Herangehensweise an die Übergangsphase erreichen Sie nicht nur Compliance mit der neuesten Version des ISO 27001-Standards, sondern können die gesamte Informationssicherheitshaltung Ihres Unternehmens verbessern.

 

Häufig gestellte Fragen

Was ist die ISO 27001:2022?

Welche Änderungen bringt die ISO 27001:2022?

Bis wann muss die ISO 27001:2022 umgesetzt sein?

🏢 Organization Schema Preview (Development Only)
{
  "@context": "https://schema.org",
  "@graph": [
    {
      "@type": "Organization",
      "@id": "www.dataguard.de#organization",
      "name": "DataGuard",
      "legalName": "DataCo GmbH",
      "description": "DataGuard ist der führende europäische Anbieter von Security- und Compliance-Software und wird von über 4.000 Organisationen in mehr als 50 Ländern weltweit geschätzt. Wir helfen Ihnen, Sicherheits- und Compliance-Risiken zu identifizieren und zu managen, Compliance-Anforderungen zu erfüllen und Zertifizierungen schneller zu erreichen. Dabei kombinieren wir maßgeschneiderte Expertenberatung mit KI-gestützter Automatisierung. Unsere speziell entwickelte All-in-One-Plattform basiert auf mehr als 1,5 Millionen Stunden Erfahrung eines Teams zertifizierter Security- und Compliance-Experten.",
      "foundingDate": "2018",
      "taxID": "DE315880213",
      "logo": "https://7759810.fs1.hubspotusercontent-na1.net/hubfs/7759810/DataGuardLogo.svg",
      "url": "www.dataguard.de",
      "email": "info@dataguard.de",
      "telephone": "+49 89 452459 900",
      "address": {
        "@type": "PostalAddress",
        "streetAddress": "Sandstrasse 33",
        "addressLocality": "München",
        "addressRegion": "Bayern",
        "postalCode": "80335",
        "addressCountry": "Deutschland"
      },
      "sameAs": [
        "https://www.linkedin.com/company/dataguard1/",
        "https://www.youtube.com/channel/UCEQzPZ6sCBCj9cAoBvaLL6w",
        "https://x.com/i/flow/login?redirect_after_login=%2FDataGuard_dg"
      ]
    }
  ]
}

✅ Organization schema markup for "DataGuard" has been injected into the document head.