{"id":2400,"date":"2023-02-07T14:30:40","date_gmt":"2023-02-07T13:30:40","guid":{"rendered":"https:\/\/www.psw-training.de\/blog\/?p=2400"},"modified":"2023-02-07T14:30:40","modified_gmt":"2023-02-07T13:30:40","slug":"die-neue-iso-270012022-was-aendert-sich","status":"publish","type":"post","link":"https:\/\/www.psw-training.de\/blog\/die-neue-iso-270012022-was-aendert-sich\/","title":{"rendered":"Die neue ISO 27001:2022: Was \u00e4ndert sich?"},"content":{"rendered":"

Seit Jahren unterst\u00fctzt die internationale ISO\/IEC 27000-Normenwelt Unternehmen darin, Informationssicherheit effizient und ganzheitlich zu handhaben und Informationssicherheitsrisiken zu reduzieren. Vor Kurzem ist Bewegung in diese Normenfamilie gekommen: Nachdem das International Accreditation Forum (IAF)<\/a> im Sommer 2022 bereits die ISO 27002 \u00fcberarbeitet hat, ver\u00f6ffentlichte das IAF am 25. Oktober 2022 die neue ISO 27001:2022, die in allen Bereichen an die aktuelle Bedrohungslage angepasst wurde. Damit l\u00f6st die ISO 27001:2022 die bisher geltende ISO 27001:2013 ab. Erfahren Sie in unserem Beitrag, was das f\u00fcr Sie bedeutet.<\/p>\n

Das ist neu bei ISO 27001:2022<\/h2>\n

Die ISO 27001 ist der internationale Standard f\u00fcr die Realisierung eines Informationssicherheit-Managementsystems (ISMS). Ein ISMS nach ISO 27001 gew\u00e4hrleistet, dass Daten sowohl optimal genutzt als auch sicher verwahrt werden.<\/p>\n

Mit der Ver\u00f6ffentlichung vom 25.10.2022 wurden in die ISO 27001:2022 insbesondere die neuen Ma\u00dfnahmen der ISO 27002 \u00fcbernommen. Auff\u00e4llig ist, dass sowohl der Zweck, als auch die Attributstabelle (bisher) nicht \u00fcbernommen wurden. Trotz alledem wird sich in der zuk\u00fcnftigen Auditpraxis zeigen, wie weit die Zertifizierungsstellen auf diese neuen Punkte der ISO 27002 Bezug nehmen werden – beispielsweise unter dem Gesichtspunkt eines ausgewogenen Sicherheitskonzepts oder der korrekten Adressierung von Risiken durch geeignete Ma\u00dfnahmen basierend auf den zugrunde liegenden Schutzzielen.<\/p>\n

Ansonsten sind die \u00c4nderungen der ISO 27001 marginal. Die neue Harmonized Structure umfasst prim\u00e4r kosmetische \u00c4nderungen, wie geringf\u00fcgige Umformulierungen, ver\u00e4nderte Darstellungen des Inhalts sowie einen Swap der Behandlung von Nichtkonformit\u00e4ten und der Realisierung von Verbesserungsm\u00f6glichkeiten. Aber der Reihe nach:<\/p>\n

Namens\u00e4nderung<\/h3>\n

Sofort auff\u00e4llig bei der ISO 27001:2022 ist die Namens\u00e4nderung: Aus \u201eInformationstechnologie \u2013 Sicherheitsverfahren \u2013 Informationssicherheitsmanagementsysteme \u2013 Anforderungen\u201c wurde mit der Neufassung \u201eInformationssicherheit, Cybersicherheit und Datenschutz \u2013 Informationssicherheitsma\u00dfnahmen\u201c.<\/p>\n

Der neue Titel macht klar, dass sich die Schutzziele ver\u00e4ndert haben. Cybersicherheit und Datenschutz erhalten einen gr\u00f6\u00dferen Stellenwert und werden explizit hervorgehoben.<\/p>\n

Aktualisierte und neu strukturierte Sicherheitskontrollen<\/h3>\n

Die im Anhang A der ISO 27001 aufgef\u00fchrten Ma\u00dfnahmen (\u201eControls\u201c) wurden aktualisiert und neu strukturiert. Aus 114 Ma\u00dfnahmen wurden dabei 93 Ma\u00dfnahmen, die jetzt in vier statt zuvor in 14 Abschnitte unterteilt werden.<\/p>\n

Diese Abschnitte sind:<\/p>\n

\u2022 Organisatizational Controls (37 Ma\u00dfnahmen)
\n\u2022 People Controls (8 Ma\u00dfnahmen)
\n\u2022 Physical Controls (14 Ma\u00dfnahmen)
\n\u2022 Technological Controls (34 Ma\u00dfnahmen)<\/p>\n

Neu hinzugekommen und den 93 Ma\u00dfnahmen bereits enthalten sind 11 Ma\u00dfnahmen:<\/p>\n

\u2022 A.5.7 Threat intelligence
\n\u2022 A.5.23 Information security for use of cloud services
\n\u2022 A.5.30 ICT readiness for business continuity
\n\u2022 A.7.4 Physical security monitoring
\n\u2022 A.8.9 Configuration management
\n\u2022 A.8.10 Information deletion
\n\u2022 A.8.11 Data masking
\n\u2022 A.8.12 Data leakage prevention
\n\u2022 A.8.16 Monitoring activities
\n\u2022 A.8.23 Web filtering
\n\u2022 A.8.28 Secure coding<\/p>\n

Zus\u00e4tzlich zu den neuen Ma\u00dfnahmen und der neuen Struktur wird nun jede Ma\u00dfnahme in f\u00fcnf verschiedene Attribute eingestuft:<\/p>\n

\u2022 Kontrolltyp
\n\u2022 Eigenschaft der Informationssicherheit
\n\u2022 Cybersicherheitskonzepte
\n\u2022 Operative F\u00e4higkeiten
\n\u2022 Sicherheitsdom\u00e4nen<\/p>\n

Insgesamt sind die neuen Ma\u00dfnahmen praxisn\u00e4her geworden und in der Beschreibung detaillierter. Sie adressieren die neuen Aspekte Datenschutz und Informationssicherheit verst\u00e4rkt und sind vor allem auch dort zusammengefasst worden, wo zuvor einzelne Ma\u00dfnahmen f\u00fcr sich alleinstehend wenig Sinn ergeben haben. Jede Ma\u00dfnahme hat nun einen eigenen Zweck. Somit lie\u00df sich auch der Aufbau der Norm realisieren und durch Attribute oder Hashtags neu strukturieren.<\/p>\n

Redaktionelle \u00c4nderungen<\/h3>\n

In Abschnitt 6.1.2 hat sich der Wortlaut ge\u00e4ndert:
\n\u2022 In den Anmerkungen unter 6.1.3.c) wurden die Kontrollziele (\u201econtrol objectives\u201c) gestrichen.\u201eControl\u201c wurde zudem durch \u201einformation security control\u201c ersetzt.
\n\u2022 Der Wortlaut von Abschnitt 6.1.3 d) wurde neu gegliedert. Dadurch sollen eventuelle Mehrdeutigkeiten vermieden werden.
\n\u2022 Das Management-Review wurde um Input und Ergebnisse erweitert.<\/p>\n

Kein neuer Umgang mit Informationssicherheit erforderlich<\/h3>\n

Die Neuerungen in der \u00fcberarbeiteten Fassung der ISO 27001 sind erkennbar, jedoch erfordern sie in Unternehmen keinen v\u00f6llig neuen Umgang mit dem Thema Informationssicherheit oder irgendwelchen gr\u00f6\u00dferen Ver\u00e4nderungen an einem bereits bestehenden Informationssicherheits-Managementsystem. Mit der neuen Version wurden vielmehr l\u00e4ngst \u00fcberf\u00e4llige Anpassungen an das wachsende Verst\u00e4ndnis von Informationssicherheit vorgenommen. In ihren wesentlichen Aussagen und Anforderungen ist sie jedoch identisch zur Vorg\u00e4ngerversion.<\/p>\n

Das sollten Sie jetzt bei der neuen ISO 27001 ber\u00fccksichtigen<\/h2>\n

Das International Accreditation Forum hat sich auch zu den \u00dcbergangsfristen zur Umstellung auf die neue ISO 27001:2022 ge\u00e4u\u00dfert und sie auf 3 Jahre festgelegt. Die Frist liegt damit im regul\u00e4ren Re-Zertifizierungsrhythmus, nach dem zertifizierte Unternehmen alle drei Jahre einen komplett neuen Auditprozess durchlaufen m\u00fcssen, um ihre Zertifizierung aufrechtzuerhalten.<\/p>\n

\u2022 F\u00fcr die Umstellung aller bestehenden Zertifikate auf die neue Norm haben Unternehmen drei Jahre Zeit, bezogen auf den letzten Tag des Ausgabemonats, der ja im Oktober 2022 war, \u2013 also bis Oktober 2025.<\/p>\n

\u2022 Unternehmen, die sich nach der neuen ISO 27001:2022 zertifizieren lassen m\u00f6chten, k\u00f6nnen dies ab sofort, ab Februar 2023, tun.<\/p>\n

\u2022 Der letzte Termin f\u00fcr ein Erst- oder Rezertifizierungsaudits nach der fr\u00fcheren ISO 27001:2013 ist 18 Monate nach Ver\u00f6ffentlichung der neuen ISO 27001:2022 m\u00f6glich. Da die Neufassung im Oktober 2022 ver\u00f6ffentlicht wurde, ist also noch bis Ende des ersten Quartals 2024 Zeit daf\u00fcr.<\/p>\n

Ihr Unternehmen ist bereits zertifiziert?<\/h3>\n

Unternehmen, die aktuell nach der Vorg\u00e4ngerfassung zertifiziert sind, k\u00f6nnen sich folglich beim n\u00e4chsten regul\u00e4r anstehenden Audit nach der ISO 27001:2022 zertifizieren lassen. Das gleiche gilt f\u00fcr Unternehmen, die sich erstmals zertifizieren lassen m\u00f6chten.<\/p>\n

Ihr Unternehmen ist noch nicht zertifiziert?<\/h3>\n

Grunds\u00e4tzlich ist das Audit noch bis Oktober 2025 auch nach der Vorg\u00e4ngerversion ISO 27001:2013 m\u00f6glich. Lassen Sie jedoch besser die Zertifizierung nach der neuen Fassung vornehmen. Denn dann muss nach Ablauf der \u00dcbergangsfrist keine erneute Auditierung angesetzt werden.<\/p>\n

Fazit zur neuen Version der ISO 27001<\/h2>\n

Neben mehr Praxisn\u00e4he kommen in der neuen Version insbesondere die Themen Datenschutz und Informationssicherheit st\u00e4rker zum Tragen. In Zeiten der Zunahme von Attacken auf Organisationen bietet der neue Blickwinkel auf die Cybersicherheit und den Datenschutz vor allem f\u00fcr die Unternehmen einen echten Mehrwert, die bisher nur die Compliance auf dem Schirm und das Thema Informationssicherheits-Managementsystem eher als Last empfunden hatten.<\/p>\n

Exklusiv bei der PSW TRAINING: Unsere gesamte ISO-27001-Schulungsreihe<\/a> ist bereits nach der neuen Version der Norm ausgerichtet. Haben Sie Fragen zur neuen Version? Nehmen Sie gerne Kontakt<\/a> zu uns auf.<\/p>\n","protected":false},"excerpt":{"rendered":"

Seit Jahren unterst\u00fctzt die internationale ISO\/IEC 27000-Normenwelt Unternehmen darin, Informationssicherheit effizient und ganzheitlich zu handhaben und Informationssicherheitsrisiken zu reduzieren. Vor Kurzem ist Bewegung in diese Normenfamilie gekommen: Nachdem das International Accreditation Forum (IAF) im Sommer 2022 bereits die ISO 27002 \u00fcberarbeitet hat, ver\u00f6ffentlichte das IAF am 25. Oktober 2022 die neue ISO 27001:2022, die in<\/p>\n","protected":false},"author":15,"featured_media":2402,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[90,91,61,88,89,87],"class_list":["post-2400","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-iso27001","tag-informationssicherheit-schulung","tag-informationssicherheit-weiterbildung","tag-iso-27001","tag-iso-27001-norm","tag-iso-270012022","tag-neue-version-27001"],"_links":{"self":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/2400","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/comments?post=2400"}],"version-history":[{"count":5,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/2400\/revisions"}],"predecessor-version":[{"id":2406,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/posts\/2400\/revisions\/2406"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/media\/2402"}],"wp:attachment":[{"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/media?parent=2400"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/categories?post=2400"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-training.de\/blog\/wp-json\/wp\/v2\/tags?post=2400"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}