Die neue ISO 27001:2022: Was ändert sich?

Seit Jahren unterstützt die internationale ISO/IEC 27000-Normenwelt Unternehmen darin, Informationssicherheit effizient und ganzheitlich zu handhaben und Informationssicherheitsrisiken zu reduzieren. Vor Kurzem ist Bewegung in diese Normenfamilie gekommen: Nachdem das International Accreditation Forum (IAF) im Sommer 2022 bereits die ISO 27002 überarbeitet hat, veröffentlichte das IAF am 25. Oktober 2022 die neue ISO 27001:2022, die in allen Bereichen an die aktuelle Bedrohungslage angepasst wurde. Damit löst die ISO 27001:2022 die bisher geltende ISO 27001:2013 ab. Erfahren Sie in unserem Beitrag, was das für Sie bedeutet.

Das ist neu bei ISO 27001:2022

Die ISO 27001 ist der internationale Standard für die Realisierung eines Informationssicherheit-Managementsystems (ISMS). Ein ISMS nach ISO 27001 gewährleistet, dass Daten sowohl optimal genutzt als auch sicher verwahrt werden.

Mit der Veröffentlichung vom 25.10.2022 wurden in die ISO 27001:2022 insbesondere die neuen Maßnahmen der ISO 27002 übernommen. Auffällig ist, dass sowohl der Zweck, als auch die Attributstabelle (bisher) nicht übernommen wurden. Trotz alledem wird sich in der zukünftigen Auditpraxis zeigen, wie weit die Zertifizierungsstellen auf diese neuen Punkte der ISO 27002 Bezug nehmen werden – beispielsweise unter dem Gesichtspunkt eines ausgewogenen Sicherheitskonzepts oder der korrekten Adressierung von Risiken durch geeignete Maßnahmen basierend auf den zugrunde liegenden Schutzzielen.

Ansonsten sind die Änderungen der ISO 27001 marginal. Die neue Harmonized Structure umfasst primär kosmetische Änderungen, wie geringfügige Umformulierungen, veränderte Darstellungen des Inhalts sowie einen Swap der Behandlung von Nichtkonformitäten und der Realisierung von Verbesserungsmöglichkeiten. Aber der Reihe nach:

Namensänderung

Sofort auffällig bei der ISO 27001:2022 ist die Namensänderung: Aus „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“ wurde mit der Neufassung „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“.

Der neue Titel macht klar, dass sich die Schutzziele verändert haben. Cybersicherheit und Datenschutz erhalten einen größeren Stellenwert und werden explizit hervorgehoben.

Aktualisierte und neu strukturierte Sicherheitskontrollen

Die im Anhang A der ISO 27001 aufgeführten Maßnahmen („Controls“) wurden aktualisiert und neu strukturiert. Aus 114 Maßnahmen wurden dabei 93 Maßnahmen, die jetzt in vier statt zuvor in 14 Abschnitte unterteilt werden.

Diese Abschnitte sind:

• Organisatizational Controls (37 Maßnahmen)
• People Controls (8 Maßnahmen)
• Physical Controls (14 Maßnahmen)
• Technological Controls (34 Maßnahmen)

Neu hinzugekommen und den 93 Maßnahmen bereits enthalten sind 11 Maßnahmen:

• A.5.7 Threat intelligence
• A.5.23 Information security for use of cloud services
• A.5.30 ICT readiness for business continuity
• A.7.4 Physical security monitoring
• A.8.9 Configuration management
• A.8.10 Information deletion
• A.8.11 Data masking
• A.8.12 Data leakage prevention
• A.8.16 Monitoring activities
• A.8.23 Web filtering
• A.8.28 Secure coding

Zusätzlich zu den neuen Maßnahmen und der neuen Struktur wird nun jede Maßnahme in fünf verschiedene Attribute eingestuft:

• Kontrolltyp
• Eigenschaft der Informationssicherheit
• Cybersicherheitskonzepte
• Operative Fähigkeiten
• Sicherheitsdomänen

Insgesamt sind die neuen Maßnahmen praxisnäher geworden und in der Beschreibung detaillierter. Sie adressieren die neuen Aspekte Datenschutz und Informationssicherheit verstärkt und sind vor allem auch dort zusammengefasst worden, wo zuvor einzelne Maßnahmen für sich alleinstehend wenig Sinn ergeben haben. Jede Maßnahme hat nun einen eigenen Zweck. Somit ließ sich auch der Aufbau der Norm realisieren und durch Attribute oder Hashtags neu strukturieren.

Redaktionelle Änderungen

In Abschnitt 6.1.2 hat sich der Wortlaut geändert:
• In den Anmerkungen unter 6.1.3.c) wurden die Kontrollziele („control objectives“) gestrichen.„Control“ wurde zudem durch „information security control“ ersetzt.
• Der Wortlaut von Abschnitt 6.1.3 d) wurde neu gegliedert. Dadurch sollen eventuelle Mehrdeutigkeiten vermieden werden.
• Das Management-Review wurde um Input und Ergebnisse erweitert.

Kein neuer Umgang mit Informationssicherheit erforderlich

Die Neuerungen in der überarbeiteten Fassung der ISO 27001 sind erkennbar, jedoch erfordern sie in Unternehmen keinen völlig neuen Umgang mit dem Thema Informationssicherheit oder irgendwelchen größeren Veränderungen an einem bereits bestehenden Informationssicherheits-Managementsystem. Mit der neuen Version wurden vielmehr längst überfällige Anpassungen an das wachsende Verständnis von Informationssicherheit vorgenommen. In ihren wesentlichen Aussagen und Anforderungen ist sie jedoch identisch zur Vorgängerversion.

Das sollten Sie jetzt bei der neuen ISO 27001 berücksichtigen

Das International Accreditation Forum hat sich auch zu den Übergangsfristen zur Umstellung auf die neue ISO 27001:2022 geäußert und sie auf 3 Jahre festgelegt. Die Frist liegt damit im regulären Re-Zertifizierungsrhythmus, nach dem zertifizierte Unternehmen alle drei Jahre einen komplett neuen Auditprozess durchlaufen müssen, um ihre Zertifizierung aufrechtzuerhalten.

• Für die Umstellung aller bestehenden Zertifikate auf die neue Norm haben Unternehmen drei Jahre Zeit, bezogen auf den letzten Tag des Ausgabemonats, der ja im Oktober 2022 war, – also bis Oktober 2025.

• Unternehmen, die sich nach der neuen ISO 27001:2022 zertifizieren lassen möchten, können dies ab sofort, ab Februar 2023, tun.

• Der letzte Termin für ein Erst- oder Rezertifizierungsaudits nach der früheren ISO 27001:2013 ist 18 Monate nach Veröffentlichung der neuen ISO 27001:2022 möglich. Da die Neufassung im Oktober 2022 veröffentlicht wurde, ist also noch bis Ende des ersten Quartals 2024 Zeit dafür.

Ihr Unternehmen ist bereits zertifiziert?

Unternehmen, die aktuell nach der Vorgängerfassung zertifiziert sind, können sich folglich beim nächsten regulär anstehenden Audit nach der ISO 27001:2022 zertifizieren lassen. Das gleiche gilt für Unternehmen, die sich erstmals zertifizieren lassen möchten.

Ihr Unternehmen ist noch nicht zertifiziert?

Grundsätzlich ist das Audit noch bis Oktober 2025 auch nach der Vorgängerversion ISO 27001:2013 möglich. Lassen Sie jedoch besser die Zertifizierung nach der neuen Fassung vornehmen. Denn dann muss nach Ablauf der Übergangsfrist keine erneute Auditierung angesetzt werden.

Fazit zur neuen Version der ISO 27001

Neben mehr Praxisnähe kommen in der neuen Version insbesondere die Themen Datenschutz und Informationssicherheit stärker zum Tragen. In Zeiten der Zunahme von Attacken auf Organisationen bietet der neue Blickwinkel auf die Cybersicherheit und den Datenschutz vor allem für die Unternehmen einen echten Mehrwert, die bisher nur die Compliance auf dem Schirm und das Thema Informationssicherheits-Managementsystem eher als Last empfunden hatten.

Exklusiv bei der PSW TRAINING: Unsere gesamte ISO-27001-Schulungsreihe ist bereits nach der neuen Version der Norm ausgerichtet. Haben Sie Fragen zur neuen Version? Nehmen Sie gerne Kontakt zu uns auf.