Die Änderungen der ISO 27001:2022 & ISO 27002:2022 waren durch die Weiterentwicklung des Stands der Technik notwendig geworden. Wir zeigen Ihnen auf dieser Seite die wichtigsten Änderungen der neuen ISO 27001:2022 und ISO 27002:2022 auf. Wenn es um Informationssicherheit geht, kommt kein Unternehmen an der ISO/IEC 27001 vorbei. Die Norm definiert die Anforderungen an ein Informationssicherheitsmanagement (ISMS), dazu gehören z.B. dessen Aufbau, Einführung, Umsetzung, Überwachung und Dokumentation. Außerdem gibt sie Anweisungen und Maßnahmen zum Risikomanagement vor, um Datendiebstahl durch Hacker, Datenverlust und Geschäftsstillstand durch Angriffe über das Web oder durch Datenmissbrauch zu vermeiden. Dies ist notwendig, um Unternehmen vor Cyberbedrohungen zu schützen. Damit Unternehmen zeitgemäß auf immer origineller werdende Cyberattacken reagieren können, musste eine Aktualisierung der ISO 27001 erfolgen. Nachdem der Leitfaden zur ISO 27001:2022, die ISO 27002:2022, schon angepasst wurde, folgte im Laufe des Jahres die Anpassung der ISO 27001. Die 27002 entspricht dabei dem Anhang A der ISO 27001. Mit den Neuerungen ermöglicht die Norm nun den Unternehmen einen flexiblen Ansatz, um ihre Widerstandskraft gegenüber Informationssicherheitsrisiken zu stärken.
Ihre Ausbildung zur neuen ISO 27001 & 27002
Virtual-Classroom-Training: Besuchen Sie unser Update-Seminar zur neuen ISO 27001:2022 und 27002:2022 für Informationssicherheit und erfahren Sie alle wichtigen Informationen zu den Änderungen in den Revisionen der ISO IEC 27001:2022 und ISO IEC 27002:2022.
E-Learning Kurs: Alternativ können Sie diese Schulung auch online als E-Learning Kurs durchführen. Werfen Sie auch einen Blick in den kostenlosen Demokurs!
Neuer Titel und neue Struktur der ISO 27001:2022
Schon im Februar 2022 erfuhr der Leitfaden zur ISO/IEC 27001, die ISO 27002, seine Änderungen. Anschließend fand im Oktober 2022 die Veröffentlichung des neuen Bewertungsrahmen für Informationssicherheit, die ISO 27001:2022, statt. Mit dem neuen Titel „Information Security, Cybersecurity and Privacy Protection“ stimmt die ISO 27001 Revision nun wieder mit dem Leitfaden ISO 27002 überein und entspricht zudem dem Stand der Technik.
Wie sieht die neue Struktur der Norm aus?
Die ISO 27001:2022 verstärkt die Anforderungen eines Unternehmens sowie dessen Management der Informationssicherheit an die Prozessorientierung. Dazu wurde schon im Mai 2021 die Harmonized Structure (HS) – als Nachfolge der High Level Structure (HLS) – eingeführt. Die neue ISO 27001 ist eine der ersten Managementnormen, die sich an der HS orientiert. Wie bei allen anderen Managementsystemen legt sie auch im Rahmen der Informationssicherheitsmanagementsysteme den Grundstein, um künftige ISO-Managementsystemnormen noch weiter zu harmonisieren.
Welche Änderungen gibt es in den einzelnen Abschnitten der ISO 27001?
Neben wesentlichen Änderungen in den Abschnitten 4, 6 und 8 gibt es in einigen weiteren Kapiteln der ISO 27001 Revision eher geringfügigere Anpassungen, Klärungen oder Präzisierungen.
Die wesentlichen Änderungen im Überblick
In Abschnitt 4.4 (Informationssicherheitsmanagementsystem (Information security management system)) wird der Kontext der Organisation mit der Anforderung, erforderliche und nachvollziehbare Prozesse sowie ihre Wechselwirkungen im Rahmen des ISMS zu bestimmen, kombiniert. Um diese Prozesse werden dann die Maßnahmen zur Informationssicherheit aus Anhang A (Informationen dazu finden Sie weiter unten) ausgestaltet und angepasst.
Mit den Änderungen in Abschnitt 6.3 (Planung von Änderungen (Planning of changes)) besteht die Anforderung, Änderungen am ISMS geplant umzusetzen. Die Verantwortlichen müssen dementsprechend den ISMS-bezogene Veränderungsprozess beherrschen.
Die Änderung in Abschnitt 8.1 (Betriebliche Planung und Steuerung (Operational planning and control)) unterstreicht die Bedeutung der Prozessorientierung. Im Rahmen der betrieblichen Planung und Steuerung der Prozesse müssen Unternehmen Maßnahmen zur Bewältigung der Informationssicherheitsrisiken umsetzen. Dabei sind nun Prozesskriterien zur Prozesssteuerung festzulegen.
In welchen Abschnitten der ISO 27001 wurden geringfügige Änderungen durchgeführt?
Die neue ISO 27001:2022 fordert in Abschnitt 5.3 (Rollen, Verantwortlichkeiten und Befugnisse in der Organisation (Organizational roles, responsibilities and authorities)) von Unternehmen, dass die Verantwortlichkeiten und Befugnisse für Rollen mit Bezug zur Informationssicherheit innerhalb der Organisation bekannt gemacht werden.
Mit dem Abschnitt 6.1.3: Informationssicherheitsrisikobehandlung (Information security risk treatment) ermöglicht die Norm eine flexiblere Auswahl, Gestaltung und Erweiterung der Referenzmaßnahmen aus Anhang A (Liste möglicher (possible) Informationssicherheitsmaßnahmen). Die neue Version unterstreicht zudem die Öffnung des Managementsystemrahmens für organisationsspezifische Maßnahmensätze.
Im Abschnitt 7.4 (Kommunikation (Communication)) regelt die ISO die interne und externe Kommunikation im Rahmen des ISMS. Weiterhin müssen Festlegungen zum Worüber, Wann mit Wem und Wer getroffen werden. Hinzukommt nun noch das „Wie“ der Kommunikation.
Die Abschnitte 9.2 (Internes Audit (Internat audit)) und 9.3 (Managementbewertung (Management review)) sind an die Harmonized Structure der ISO 27001:2022 angepasst und neu untergliedert.
Der Abschnitt 10.1 (Fortlaufende Verbesserung / Continual improvement) beinhaltet den Aspekt der prospektiven fortlaufenden Verbesserung. Er ist jetzt dem Abschnitt 10.2 (Nichtkonformität und Korrekturmaßnahmen (Nonconformity and corrective action)), also dem retrospektiven Umgang mit Nichtkonformitäten und Korrekturmaßnahmen, vorangestellt. Dabei wurden keine weiteren inhaltliche Änderungen durchgeführt. Die Bedeutung des kontinuierlichen Verbesserungsprozesses (KVP) wird mit dieser Änderung noch einmal hervorgehoben.
Was ist neu im Anhang A der ISO 27001:2022?
Der Maßnahmenkatalog Anhang A (Annex A) der ISO 27001:2022 ist aus dem Leitfaden ISO 27002:2022 abgeleitet. Im Gegensatz zu den alten Normen ISO 27001:2013 bzw. ISO 27001:2017, in denen der Anhang A aus 114 Informationssicherheitsmaßnahmen, unterteilt in 14 Kategorien, bestand, gibt es im neuen Anhang A der ISO 27001:2022 hingegen nur noch 93 Maßnahmen. Diese sind zudem auch nur noch in 4 Hauptkategorien unterteilt. Diese vier Abschnitte gliedern sich in die folgenden Themenbereiche mit einer unterschiedlichen Anzahl an Sicherheitsmaßnahmen:
- Organisatorische Maßnahmen (37 Maßnahmen)
- Personenbezogene Maßnahmen (8 Maßnahmen)
- Physische Maßnahmen (14 Maßnahmen)
- Technische Maßnahmen (34 Maßnahmen)
Welche neuen Maßnahmen gibt es?
Trotz einiger Streichungen von Maßnahmen im Annex A, gibt es in der neuen Version ISO 27001:2022 auch elf neue Sicherheitsmaßnahmen, die die ISO vorgibt.
1. IKT-Bereitschaft für Business Continuity (Business Continuity)
Diese Maßnahme beinhaltet Anforderungen an Wiederherstellungsmaßnahmen. Dabei liegt der neue Fokus auf technischen Maßnahmen.
2. Nutzung von Cloud-Diensten (Cloud Services)
Mit dieser Maßnahme ist der sichere Prozesse für Onboarding, Nutzung, Verwaltung sowie Ausstieg bei Cloud Anbietern sicherzustellen.
3. Physische Sicherheitsüberwachung (Physical Security Monitoring)
Zur Abschreckung und dem Schutz vor unbefugtem Zugriff sollen Überwachungsmaßnahmen, Einbruchsalarme etc. eingerichtet werden.
4. Bedrohungsintelligenz (Threat Intelligence)
Es sollen Bedrohungsinformationen gesammelt und analysiert werden, um Schutzmaßnahmen zu bestimmen.
5. Verhinderung von Datenlecks (Data Leakage Prevention)
Diese Sicherheitsmaßnahem dient der Überwachung und Erkennung von Datenverlust / Offenlegung / Datenleck.
6. Löschung von Informationen (Information Deletion)
Diese Maßnahme beinhaltet die Anforderungen zur Datenspeicherung im Hinblick auf DSGVO sowie GDPR.
7. Überwachung von Aktivitäten (Monitoring)
Abweichende Aktivitäten müssen proaktiv überwacht werden.
8. Datenmaskierung (Data Masking)
In dieser Maßnahme geht es um die Beschränkung, Anonymisierung sowie Pseudonymisierung von Daten.
9. Webfilterung (Web Filtering)
Mit dieser Maßnahme sollen gefährlichen Webseiten, die Malware verbreiten oder aber unbefugt Daten auslesen, ausgefiltert werden.
10. Konfigurationsmanagement (Configuration Management)
Die korrekte Einstellung von Sicherheitsmaßnahmen und Sicherung der Konfiguration wird hierdurch ermöglicht.
11. Sicheres Coding (Secure Coding)
Hierbei geht es um die sichere Kodierung ohne Schwachstellen oder Anfälligkeit für Angriffe.
Ihre Ausbildungen im Informationssicherheitsmanagement ISO 27001
Steigen Sie mit dem Basiswissen zur ISO 27001 in die Grundlagen des Informationssicherheitsmanagements ein und qualifizieren Sie sich anschließend zum internen Auditor ISO 27001 oder ISMS Beauftragten ISO 27001 – wir bereiten Sie dabei praxisnah auf kommende Aufgaben vor!
Einige der Ausbildungen können Sie dabei auch als E-Learning absolvieren. Laden Sie sich für eine komplette Übersicht einfach unseren Katalog kostenfrei herunter.
Die 5 Attribute zur Kategorisierung von Maßnahmen in der ISO 27002
Wohingegen sich die ISO 27001:2022 nur auf die Nennung der Maßnahmen / Controls im Anhang A fokussiert, definiert der Leitfaden ISO 27002:2022 diese genauer, indem er jeder Maßnahme jeweils 5 Attribute zu ordnet. Diese Attribute und ihre jeweiligen Attributwerte ermöglichen unterschiedliche Sichtweisen und Perspektiven auf die Maßnahmen. Bei den fünf Attributen handelt es sich um:
Das Attribut Maßnahmenart (Control type) soll die Wirkungsweise von Maßnahmen aufzeigen und darstellen, wann und wie eine Maßnahme das Risiko in Bezug auf das Auftreten eines Informationssicherheitsvorfalls verändert.
Informationssicherheitseigenschaften (Information security properties) sind ein Attribut, das die Auswirkungen auf Sicherheitsziele betrachten und aufzeigen soll, welches Schutzziel durch die Maßnahme unterstützt werden soll.
Das Attribut zur Einordnung von Cybersicherheitskonzepte (Cybersecurity concepts) betrachtet Controls aus der Perspektive der Zuordnung von Maßnahmen (vgl. ISO/IEC TS 27110 Cybersicherheitsrahmenwerk).
Mit dem Attribut Betriebsfähigkeit (Operational capabilities) sollen die Controls aus der Perspektive eines Praktikers bzw. der praktischen Anwendersicht betrachtet werden.
Das Attribut Sicherheitsdomänen (Security domains) betrachtet Maßnahmen aus der Perspektive von vier IS-Domänen.
Bis wann muss auf die ISO 27001:2022 umgestellt werden?
Ab der Veröffentlichung der Norm ISO 27001:2022 im Oktober 2022 besteht eine Übergangsfrist für eine bestehende ISO 27001 Zertifizierung. Diese beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats der neuen Norm, in diesem Fall Oktober 2022. Für Sie und Ihr Unternehmen bedeutet das, dass alle Zertifikate nach ISO/IEC 27001:2013 / DIN EN ISO/IEC 27001:2017 bis zum 31. Oktober 2025 auf die neue ISO 27001 aus 2022 umgestellt sein müssen. Ab dem 31. Oktober 2023 müssen Erst- und Rezertifizierungen gemäß der neuen Norm ISO 27001:2022 durchgeführt werden. Eine Umstellung von Zertifikaten kann jedoch erst erfolgen, wenn die Deutsche Akkreditierungsstelle GmbH (DAkkS) das entsprechende Umstellungskonzept auf den Weg gebracht hat.
Ihre ISO 27001 Ausbildung
Alle Ausbildungsinfos zum direkten Download
Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!
Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!
