Skip to main content
ISO Dienstleistungen

ISO 27001:2022 – Ein umfassender Leitfaden

By 05/08/2024No Comments

Einführung

Die ISO 27001:2022 ist die neueste Version des weltweit anerkannten Standards für
Informationssicherheitsmanagementsysteme (ISMS). Dieser Artikel bietet einen umfassenden Überblick über die
Änderungen in der ISO 27001:2022 und wie sie sich auf Organisationen auswirken, die bereits nach ISO 27001
zertifiziert sind oder eine Zertifizierung planen.

ISO 27001:2022 – Was ist das?

ISO 27001 ist ein international anerkannter Standard, der Anforderungen für ein Informationssicherheitsmanagementsystem (ISMS) festlegt. Das ISMS ist ein systematischer Ansatz zur Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, indem Risiken ermittelt und entsprechende Kontrollen eingeführt werden. Die neueste Version des Standards, ISO 27001:2022, wurde im Oktober 2022 veröffentlicht.

Änderungen in der ISO 27001:2022

Die Änderungen in der ISO 27001:2022 sind nicht wesentlich, es gibt jedoch einige bemerkenswerte Anpassungen. Die meisten dieser Änderungen beziehen sich auf Annex SL, die High-Level-Struktur, die allen neuen ISO-Managementsystemstandards gemeinsam ist, und nicht auf die Informationssicherheit:

  • Kontext und Anwendungsbereich: Organisationen müssen nun die “relevanten” Anforderungen von Interessengruppen identifizieren und festlegen, welche Anforderungen durch das ISMS erfüllt werden sollen. Das ISMS muss nun explizit die “erforderlichen Prozesse und deren Interaktionen” einschließen.
  • Planung: Die Überwachung von Informationssicherheitszielen muss nun erfolgen und “als dokumentierte Information verfügbar sein”. Es gibt eine neue Unteranforderung zur Planung von Änderungen am ISMS.
  • Unterstützung: Die Anforderungen an die Definition, wer kommuniziert, und die Prozesse zur Durchführung der Kommunikation wurden durch eine Anforderung an die Definition “wie zu kommunizieren” ersetzt.
  • Betrieb: Die Anforderung, die Umsetzung der in Klausel 6 identifizierten Maßnahmen zu planen, wurde durch eine Anforderung ersetzt, Kriterien für Prozesse zur Umsetzung dieser Maßnahmen festzulegen und diese Prozesse gemäß den Kriterien zu steuern.
  • Annex A: Annex A wurde überarbeitet, um ihn mit ISO 27002:2022 in Einklang zu bringen. Die Kontrollen von Annex A werden im folgenden Abschnitt erörtert.

Was sind die Kontrolländerungen in Annex A?

In ISO 27001:2022 wurde eine Reihe von Kontrollen in Annex A zusammengelegt, während 11 hinzugefügt wurden:

  • Obwohl keine Kontrollen entfernt wurden, listet ISO 27001:2022 nur 93 Kontrollen auf, im Vergleich zu 114 in ISO 27001:2013. Dies liegt an der großen Anzahl von zusammengelegten Kontrollen (56 zu 24).
  • Diese Kontrollen sind in 4 “Themen” anstatt 14 Klauseln gruppiert. Sie sind: Menschen (8 Kontrollen), Organisatorisch (37 Kontrollen), Technologisch (34 Kontrollen), Physisch (14 Kontrollen).
  • Die völlig neuen Kontrollen sind: Bedrohungsintelligenz, Informationssicherheit für die Nutzung von Cloud-Diensten, ICT-Bereitschaft für die Geschäftskontinuität, physische Sicherheitsüberwachung, Konfigurationsmanagement, Informationslöschung, Datenmaskierung, Verhinderung von Datenlecks, Überwachungsaktivitäten, Webfilterung, sicheres Codieren.

Was hat sich in ISO 27002 geändert?

Der Ausdruck “Verhaltenskodex” wurde aus dem Titel der aktualisierten ISO 27002 entfernt. Dies spiegelt besser seinen Zweck als Bezugssatz von Informationssicherheitskontrollen wider.

Wie wirkt sich dies auf Organisationen aus, die ISO 27001 implementieren?

Wenn Sie planen, ein ISMS gemäß ISO 27001:2013 zu implementieren oder sich bereits in der Implementierungsphase befinden, müssen Sie die Änderungen in ISO 27001:2022 berücksichtigen. Sie sollten eine Lückenanalyse durchführen, um festzustellen, welche Änderungen erforderlich sind, um Ihr ISMS an den neuen Standard anzupassen.

Wie wirkt sich dies auf Organisationen aus, die bereits nach ISO 27001:2013 zertifiziert sind?

Wenn Ihre Organisation bereits nach ISO 27001 zertifiziert ist, haben Sie bis Oktober 2025 Zeit, um auf ISO 27001:2022 umzusteigen. In dieser Zeit können Sie weiterhin Audits nach ISO 27001:2013 durchführen, sollten jedoch Pläne für den Übergang zu ISO 27001:2022 vor diesem Datum erstellen.

Fazit

Die ISO 27001:2022 bringt einige wichtige Änderungen mit sich, die sowohl für Organisationen, die bereits nach ISO 27001 zertifiziert sind, als auch für solche, die eine Zertifizierung planen, relevant sind. Es ist wichtig, dass Sie diese Änderungen verstehen und wissen, wie Sie Ihr ISMS entsprechend anpassen können. Mit sorgfältiger Planung und Vorbereitung sollte es möglich sein, einen reibungslosen Übergang zu ISO 27001:2022 zu gewährleisten und weiterhin von den Vorteilen eines zertifizierten ISMS zu profitieren.

Ressourcen

Für weitere Informationen und Unterstützung zur ISO 27001:2022 können Sie sich an Experten wenden oder entsprechende Schulungen besuchen. Es gibt auch viele Online-Ressourcen, die hilfreiche Leitfäden und Tipps zur Umsetzung der ISO 27001:2022 bieten.

Zusammenfassung

Zusammenfassend lässt sich sagen, dass die ISO 27001:2022 zwar einige Änderungen mit sich bringt, aber der Grundgedanke des Standards unverändert bleibt: die Bereitstellung eines Rahmenwerks für ein effektives Informationssicherheitsmanagementsystem. Mit den richtigen Ressourcen und Unterstützung können Unternehmen sicherstellen, dass sie die Vorteile der ISO 27001:2022 voll ausschöpfen.