Die Änderungen der ISO 27001:2022 & ISO 27002:2022 waren durch die Weiterentwicklung des Stands der Technik notwendig geworden. Wir zeigen Ihnen auf dieser Seite die wichtigsten Änderungen der neuen ISO 27001:2022 und ISO 27002:2022 auf. Wenn es um Informationssicherheit geht, kommt kein Unternehmen an der ISO/IEC 27001 vorbei. Die Norm definiert die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS), dazu gehören z.B. dessen Aufbau, Einführung, Umsetzung, Überwachung und Dokumentation. Außerdem gibt sie Anweisungen und Maßnahmen zum Risikomanagement vor, um Datendiebstahl durch Hacker, Datenverlust und Geschäftsstillstand durch Angriffe über das Web oder durch Datenmissbrauch zu vermeiden. Dies ist notwendig, um Unternehmen vor Cyberbedrohungen zu schützen.
Damit Unternehmen zeitgemäß auf immer origineller werdende Cyberattacken reagieren können, musste eine Aktualisierung der ISO 27001 erfolgen. Nachdem der Leitfaden zur ISO 27001, die ISO 27002:2022, schon im Februar 2022 angepasst wurde, folgte Ende Oktober 2022 die Anpassung der ISO 27001. Die 27002 entspricht dabei dem Anhang A der ISO 27001. Mit den Neuerungen ermöglicht die Norm nun den Unternehmen einen flexibleren Ansatz, um ihre Widerstandskraft gegenüber aktuelle Informationssicherheitsrisiken zu stärken.
Neuer Titel und neue Struktur der ISO 27001:2022
Mit dem neuen Titel „Information Security, Cybersecurity and Privacy Protection“ geht die überarbeitete ISO 27001 neben dem aktuellen Stand der Technik auch weitere Anwendungsbereiche eines ISMS prinzipiell an: die Cybersicherheit als auch den Datenschutz.
Wie sieht die neue Struktur der Norm aus?
Die ISO 27001:2022 verstärkt die Anforderungen eines Unternehmens sowie dessen Management der Informationssicherheit an die Prozessorientierung. Dazu wurde schon im Mai 2021 die Harmonized Structure (HS) – als Nachfolge der High Level Structure (HLS) – als Vorgabe für neue ISO Managementsystem-Normen eingeführt. Die neue ISO 27001 ist eine der ersten Managementsystemnormen, die sich an der HS orientiert. Wie bei allen anderen Managementsystemen legt sie auch im Rahmen der Informationssicherheitsmanagementsysteme den Grundstein, um künftige ISO-Managementsystemnormen noch weiter in integrierten Managementsysteme zusammen zu führen.
Welche Änderungen gibt es in den einzelnen Abschnitten der ISO 27001?
Neben wesentlichen Änderungen in den Abschnitten 4, 6 und 8 gibt es in einigen weiteren Abschnitten der ISO 27001 Revision eher geringfügigere Anpassungen, Klärungen oder Präzisierungen.
Die wesentlichen Änderungen im Überblick
In Abschnitt 4.4 (Informationssicherheitsmanagementsystem (Information security management system)) wird gefordert, dass nachvollziehbare Prozesse sowie deren Wechselwirkungen im Rahmen des ISMS zu bestimmen sind. In Kombination mit den Normanforderungen des Abschnittes 8.1 erfolgt hiermit die Erfordernis, in allen relevanten Geschäftsprozessen die Informationssicherheitsaspekte zu verankern – inkl. der Bildung von Prozesskennzahlen zu deren Messung.
Mit den Änderungen in Abschnitt 6.3 (Planung von Änderungen (Planning of changes)) besteht die Anforderung, Änderungen am ISMS geplant umzusetzen. Die Verantwortlichen müssen dementsprechend den ISMS-bezogene Veränderungsprozess beherrschen und strukturieren (z.B. mit einer Gap-Analyse).
Die Änderung in Abschnitt 8.1 (Betriebliche Planung und Steuerung (Operational planning and control)) unterstreicht die Bedeutung der Prozessorientierung. Im Rahmen der betrieblichen Planung und Steuerung der Prozesse müssen Unternehmen Maßnahmen zur Bewältigung der Informationssicherheitsrisiken umsetzen. Dabei sind nun Prozesskriterien zur Prozesssteuerung festzulegen (vgl. die Angaben zu 4.4).
Passend für Sie zum Thema
Kursvideo
Seminartitel
Kursformen
Zertifikat
Informationen
In welchen Abschnitten der ISO 27001 wurden geringfügige Änderungen durchgeführt?
Die neue ISO 27001:2022 fordert in Abschnitt 5.3 (Rollen, Verantwortlichkeiten und Befugnisse in der Organisation (Organizational roles, responsibilities and authorities)) von Unternehmen, dass die Verantwortlichkeiten und Befugnisse für Rollen mit Bezug zur Informationssicherheit innerhalb der Organisation bekannt gemacht werden.
Mit dem Abschnitt 6.1.3: Informationssicherheitsrisikobehandlung (Information security risk treatment) ermöglicht die Norm eine flexiblere Auswahl, Gestaltung und Erweiterung der Referenzmaßnahmen aus Anhang A (Liste möglicher (possible) Informationssicherheitsmaßnahmen). Die neue Version unterstreicht zudem die Öffnung des Managementsystemrahmens für organisationsspezifische Informationssicherheitsmaßnahmen.
Im Abschnitt 7.4 (Kommunikation (Communication)) regelt die ISO die interne und externe Kommunikation im Rahmen des ISMS. Weiterhin müssen Sie Festlegungen zum Worüber, Wann mit Wem und Wer treffen. Hinzukommt nun noch das „Wie“ der Kommunikation.
Die Abschnitte 9.2 (Internes Audit (Internat audit)) und 9.3 (Managementbewertung (Management review)) sind an die Harmonized Structure angepasst und neu untergliedert.
Der Abschnitt 10.1 (Fortlaufende Verbesserung / Continual improvement) beinhaltet den Aspekt der prospektiven fortlaufenden Verbesserung. Er ist jetzt dem Abschnitt 10.2 (Nichtkonformität und Korrekturmaßnahmen (Nonconformity and corrective action)), also dem retrospektiven Umgang mit Nichtkonformitäten und Korrekturmaßnahmen, vorangestellt. Dabei wurden keine weiteren inhaltliche Änderungen durchgeführt. Die Bedeutung des kontinuierlichen Verbesserungsprozesses (KVP) wird mit dieser Änderung noch einmal hervorgehoben.
Was ist neu im Anhang A der ISO 27001:2022?
Der Maßnahmenkatalog Anhang A (Annex A) der ISO 27001:2022 ist aus dem Leitfaden ISO 27002:2022 abgeleitet. Im Gegensatz zu den alten Normen ISO 27001:2013 bzw. DIN ISO 27001:2017, in denen der Anhang A aus 114 Informationssicherheitsmaßnahmen, unterteilt in 14 Abschnitte und 35 Kategorien, bestand, gibt es im neuen Anhang A der ISO 27001:2022 hingegen nur noch 93 Maßnahmen. Diese sind zudem auch nur noch in 4 Hauptkategorien unterteilt. Diese sind in die folgenden Themenbereiche mit einer unterschiedlichen Anzahl an Sicherheitsmaßnahmen gegliedert:
- Organisatorische Maßnahmen (37 Maßnahmen)
- Personenbezogene Maßnahmen (8 Maßnahmen)
- Physische Maßnahmen (14 Maßnahmen)
- Technische Maßnahmen (34 Maßnahmen)
Alle unsere YouTube Videos finden Sie hier auf dem YouTube Kanal der VOREST AG!
Welche neuen Maßnahmen gibt es?
Nach der Zusammenführung von Maßnahmen im Annex A (insgesamt zu 82 Maßnahmen mit Bezügen zu bisherigen 114 „controls“), gibt es in der neuen Version ISO 27001:2022 auch elf neue Sicherheitsmaßnahmen:
1. IKT-Bereitschaft für Business Continuity (Business Continuity)
Diese Maßnahme beinhaltet Anforderungen an Wiederherstellungsmaßnahmen. Dabei liegt der neue Fokus auf technischen Maßnahmen.
2. Nutzung von Cloud-Diensten (Cloud Services)
Mit dieser Maßnahme ist der sichere Prozess für Onboarding, Nutzung, Verwaltung sowie Ausstieg bei Cloud Anbietern sicherzustellen.
3. Physische Sicherheitsüberwachung (Physical Security Monitoring)
Zur Abschreckung und dem Schutz vor unbefugtem Zugriff sollen Überwachungsmaßnahmen, Einbruchsalarme etc. eingerichtet werden.
4. Bedrohungsintelligenz (Threat Intelligence)
Es sollen Bedrohungsinformationen gesammelt und analysiert werden, um Schutzmaßnahmen zu bestimmen.
5. Verhinderung von Datenlecks (Data Leakage Prevention)
Diese Sicherheitsmaßnahme dient der Überwachung und Erkennung von Datenverlust / Offenlegung / Datenleck.
6. Löschung von Informationen (Information Deletion)
Diese Maßnahme beinhaltet die Anforderungen zur Datenspeicherung im Hinblick auf DSGVO sowie GDPR.
7. Überwachung von Aktivitäten (Monitoring)
Abweichende IT-Systemaktivitäten müssen proaktiv überwacht werden.
8. Datenmaskierung (Data Masking)
In dieser Maßnahme geht es um die Beschränkung, Anonymisierung sowie Pseudonymisierung von Daten.
9. Webfilterung (Web Filtering)
Mit dieser Maßnahme sollen gefährlichen Webseiten, die Malware verbreiten oder aber unbefugt Daten auslesen, ausgefiltert werden.
10. Konfigurationsmanagement (Configuration Management)
Die korrekte Einstellung von Sicherheitsmaßnahmen und Sicherung der Konfiguration wird hierdurch ermöglicht.
11. Sichere Kodierung (Secure Coding)
Hierbei geht es um die sichere Software Entwicklung ohne Schwachstellen oder Anfälligkeit für Angriffe.
Die 5 Attribute zur Kategorisierung von Maßnahmen in der ISO 27002
Wohingegen sich die ISO 27001:2022 nur auf die Nennung der Maßnahmen / Controls im Anhang A fokussiert, erläutert der Leitfaden ISO 27002:2022 diese genauer, indem er zunächst jeder Maßnahme jeweils 5 Attribute zuordnet. Diese Attribute und ihre jeweiligen Attributwerte ermöglichen unterschiedliche Sichtweisen und Perspektiven auf die Maßnahmen. Bei den fünf Attributen handelt es sich um:
Das Attribut Maßnahmenart (Control type) soll die Wirkungsweise von Maßnahmen aufzeigen und darstellen, wann und wie eine Maßnahme das Risiko in Bezug auf das Auftreten eines Informationssicherheitsvorfalls verändert.
Informationssicherheitseigenschaften (Information security properties) sind ein Attribut, das die Auswirkungen auf Sicherheitsziele betrachtet und aufzeigen soll, welches Schutzziel durch die Maßnahme unterstützt werden soll.
Das Attribut zur Einordnung von Cybersicherheitskonzepte (Cybersecurity concepts) betrachtet Controls aus der Perspektive der Zuordnung von Maßnahmen (vgl. ISO/IEC TS 27110 Cybersicherheitsrahmenwerk).
Mit dem Attribut Betriebsfähigkeit (Operational capabilities) sollen die Controls aus der Perspektive eines Praktikers bzw. der praktischen Anwendersicht betrachtet werden.
Das Attribut Sicherheitsdomänen (Security domains) betrachtet Maßnahmen aus der Perspektive von vier IS-Domänen.
Bis wann muss auf die ISO 27001:2022 umgestellt werden?
Seit der Veröffentlichung der Norm ISO 27001:2022 im Oktober 2022 besteht eine Übergangsfrist für eine bestehende ISO 27001 Zertifizierung. Diese beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats der neuen Norm, in diesem Fall Oktober 2022. Für Sie und Ihr Unternehmen bedeutet das, dass alle Zertifikate nach ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 bis zum 31. Oktober 2025 auf die neue ISO 27001 aus 2022 umgestellt sein müssenDie sogenannten Übergangsaudits (von der bisherigen 27001 auf die neue 27001) können während Überwachungsaudits oder Re-Zertifizierungsaudits als auch Sonderaudits zwischen den regulären Zertifizierungsaudits durchgeführt werden. Es ist jedoch darauf zu achten, den Zeitpunkt der Übergangsaudits rechtzeitig vor Ende der Übergangsfrist zu terminieren, damit eventuelle Abweichungen nicht zu einer zertifikatslosen Phase führen. Ab dem 01.11.2025 verlieren die bisherigen Zertifikate der 27001:2013 bzw. -2017 ihre Gültigkeit.
Ihre ISO 27001 Ausbildung
Alle Ausbildungsinfos zum direkten Download
Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!
Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!
