ISO/IEC 27001:2022 – Änderungen & Handlungsempfehlungen

Die ISO/IEC 27001:2022 ist die neuste Version der internationalen Norm für Informationssicherheitsmanagementsysteme (ISMS). Die Änderungen der ISO/IEC 27001:2022 zur Vorgängerversion (2013) betreffen sowohl die Struktur-, als auch die Maßnahmen der Norm. In diesem Artikel erfahren Sie, welche Änderungen es gibt und wie Sie auf die neue Norm reagieren sollten.

Die wichtigsten Änderungen der ISO/IEC 27001:2022

• Anpassung der ISO/IEC 27001 an die Harmonized Structure
• Maßnahmen wurden an moderne Organisationsmethoden & Bedrohungen angepasst
• Anzahl der Maßnahmen von 114 auf 93 reduziert
• Maßnahmen werden in 4 statt 14 Abschnitte eingeteilt
• Jeder Maßnahme werden 5 Attribute zugeordnet

Anpassung der ISO/IEC 27001 an die Harmonized Structure (HS)

Die ISO/IEC 27001:2022 ist eine der ersten Managementsystemnormen, die an die neue Harmonized Structure angepasst wurde. Die Harmonized Structure ist der Nachfolger der vorherigen High Level Structure und bestimmt den Aufbau der ISO-Managementsystemnormen.

Eine entscheidende Änderung durch die Harmonized Structure findet sich in Abschnitt 6.3 der ISO 27001:2022:

Es besteht die Anforderung, Änderungen am Informationssicherheitsmanagementsystem (ISMS) geplant umzusetzen. Ein Beispiel für eine Änderung an Ihrem ISMS ist der Wechsel von der alten ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022, der in dementsprechend geplant umgesetzt werden soll.

Anpassung der ISO/IEC 27001:2022-Maßnahmen an neue Bedrohungen

Seit der letzten Auflage, der ISO/IEC 27001:2013, haben neue Technologien weite Verbreitung gefunden, mit denen auch neuartige Bedrohungen einhergehen. Mit den Änderungen der ISO/IEC 27001:2022 werden die Maßnahmen an neue Bedrohungen und Organisationsstrukturen angepasst, um weiter einen bestmöglichen Schutz für zertifizierte Organisationen sicherzustellen.

Reorganisierung der ISO/IEC 27001:2022-Maßnahmen

Mit der Neuauflage der ISO/IEC 27001 wurden die enthaltenen Maßnahmen drastisch umorganisiert. Die entscheidenden Änderungen dabei sind:

• Kürzung der Maßnahmenliste von 114 auf 93
• Unterteilung der Maßnahmen in 4, statt 14 Abschnitte:
  • 37 organisationale Maßnahmen
  • 8 personelle Maßnahmen
  • 14 physische Maßnahmen
  • 34 technische Maßnahmen
• 11 neue Maßnahmen:
  • 5.7 Threat intelligence
  • 5.23 Information security for use of cloud services
  • 5.30 ICT readiness for business continuity
  • 7.4 Physical security monitoring
  • 8.9 Configuration management
  • 8.10 Information deletion
  • 8.11 Data masking
  • 8.12 Data leakage prevention
  • 8.16 Monitoring activities
  • 8.23 Web filtering
  • 8.28 Secure coding
• Außerdem wurden jeder Maßnahme 5 Attribute zugeordnet, um sie besser filtern, sortieren und darstellen zu können:
  • Kontrolltyp
  • Eigenschaft der Informationssicherheit
  • Cybersicherheitskonzepte
  • Operative Maßnahmen
  • Sicherheitsdomänen

Wie sollten Sie auf die Änderungen der ISO/IEC 27001:2022 reagieren?

Die ISO/IEC 27001:2022 bringt zwar einige Neuerungen mit sich, erfordert aber keinen von Grund auf anderen Umgang mit dem Thema ISMS. Vielmehr vereinfachen die Änderungen der ISO/IEC 27001:2022 die Einführung und Aufrechterhaltung des ISMS und machen die Informationssicherheit Ihres Unternehmens durch die modernisierten Maßnahmen robuster.

Nach Veröffentlichung der ISO/IEC 27001:2022 haben Sie in jedem Fall eine Übergangsfrist von 3 Jahren, bis Sie auf die neue Version der Norm umsteigen müssen.

Wechsel von ISO/IEC 27001:2013 auf ISO/IEC 27001:2022

Falls Ihr Unternehmen bereits nach ISO/IEC 27001:2013 zertifiziert ist, dann sind Sie auf der sicheren Seite. Da im Turnus von 3 Jahren ohnehin eine neu-Zertifizierung nach ISO 27001 ansteht, können Sie bei Ihrem nächsten Zertifizierungsaudit auf die ISO/IEC 27001:2022 umsteigen.

Bei Ihrem nächsten jährlichen internen Systemaudit können wir den Wechsel mit Ihnen vorbereiten, um ihn so reibungslos wie möglich zu gestalten.

Da sich jedoch einige Dokumentationsanforderungen geändert haben, besteht bei manchen Unternehmen bis zum nächsten Zertifizierungsaudit noch Handlungsbedarf – sprechen Sie uns für eine individuelle Beratung gerne an.

Neuzertifizierung nach ISO/IEC 27001:2022

Ihr Unternehmen hat noch kein zertifiziertes ISMS? Dann empfehlen wir Ihnen, sich direkt nach ISO/IEC 27001:2022 zertifizieren zu lassen. – So ist Ihr Unternehmen bestmöglich geschützt und Sie müssen sich vor dem Ablauf der Übergangsfrist nicht erneut zertifizieren lassen.

Fazit: ISO/IEC 27001:2022 – mit kompetenter Beratung auf der sicheren Seite

Die ISO/IEC 27001:2022 bringt zwar substanzielle Änderungen mit sich, sollte für Sie jedoch kein Grund zur Sorge sein. Mit sorgfältiger Planung lassen sich sowohl die neuen Maßnahmen, als auch die verschärften Dokumentationsprozesse in Ihrem Unternehmen implementieren.

Um den individuellen Handlungsbedarf Ihres Unternehmens festzustellen und einen erfolgreichen Plan für Ihre kommende Re-/Neuzertifizierung zu entwerfen, ist eine individuelle Beratung unersetzlich.

Wir helfen Ihnen, Ihr ISMS erfolgreich einzuführen, aufrechtzuerhalten und zu erneuern. – Die Expert*innen der BOS stehen Ihnen gerne zur Verfügung!

Autor*in

Maik Urbanek

Experte für Managementsysteme @ BOS GmbH & Co. KG

„Ich bin Spezialist für individuell angelegte Projekte, Schulungen und Trainings im Bereich der Managementsysteme. Mit mehr als 10 Jahren Berufs- und Branchenerfahrung begleite ich Projekte und Audits verschiedenster Unternehmen in leitender Funktion. Ich unterstütze Sie mit Fach- und Erfahrungswissen und bringe als Moderator und Ideengeber neue Perspektiven für die Lösungsfindung ein.“

Weitere Artikel

• Maik Urbanek

  https://www.bos-kg.de/author/m-urbanek/

  Mess- & Prüfprozesse nach VDA 5 (3. Ausgabe) gestalten und steuern
• Maik Urbanek

  https://www.bos-kg.de/author/m-urbanek/

  Jährliche interne Systemaudits: Ein Experte klärt auf
• Maik Urbanek

  https://www.bos-kg.de/author/m-urbanek/

  Methodenwissen ausbauen