ISO/IEC 27001:2022 – Die Neuerungen für Ihr ISMS
Wir berichteten bereits im Februar 2022 über die ISO 27002 im aktualisierten Gewand und zeigten die vielen Neuerungen, die den Standard auf den Stand der Zeit gebracht haben. Ende Oktober 2022 wurde nun auch die ISO 27001 aus der gleichen Normfamilie aktualisiert und dadurch der Anhang A mit den Maßnahmen (Controls) in Einklang gebracht. Doch was bedeutet dies für die Anwender und Unternehmen die es noch werden wollen?
Der neue Name
Stand die Norm in der Version aus 2013 noch unter der Überschrift „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“ so zeigt der neue Titel „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“ den Wandel vom reinen Management zum gelebten Schutz von Daten und Informationen. Auch wenn Datenschutz und Informationssicherheit unterschiedliche Positionen einnehmen können sollten sie in Kooperation umgesetzt werden, da sie sehr ähnliche Ziele verfolgen.
Der Anhang A
Wie bereits erwähnt finden nun die 93 Controls, der vormals 114 in Version 2013, in vier statt wie bisher 14 Abschnitten den Weg aus der aktuellen Version der 27002. Hinzu kommen die 11 neuen Maßnahmen die aktuellen Anforderungen, Bedrohungen und Herausforderungen, im Umgang mit Informationen, Rechnung tragen. Eine detaillierte Analyse der Änderungen in der ISO 27002:2022 finden Sie in unserem Artikel zu „ISO/IEC 27002:2022 – Was verändert die neue Version?“, aus dem Februar 2022.
Kleine Änderungen im Wortlaut
Zum aktuellen Zeitpunkt liegt uns die ISO 27001:2022 nur im englischen Wortlaut vor. Dennoch lassen sich ein paar kleineren Stellen bereits redaktionelle Änderungen erkennen.
- In den Anmerkungen (NOTE 2 & 3) zu 6.1.3.c wurden die Kontrollziele „control objectives“ entfernt und das Wort „control“ durch „information security control“ ersetzt
- 6.1.3.d wurde neu formatiert und die Anforderungen erscheinen übersichtlich als Liste
- Die Gleiderung von Abschnitt 9.3 wurde geändert. Hier erscheinen nun die Unterabschnitte General (9.3.1), Managment review inputs (9.3.2) und Management review results (9.3.3)
- Weiterhin taucht in 9.3.2.c die Änderung und Bedürfnisse von interessierten Parteien als neuer Teil des Management Reviews auf
Was bedeutet das nun für mein ISMS?
Da die neue Version am 25. Oktober 2022 veröffentlicht wurde und der Zeitplan eine Umstellungszeit von 3 Jahren vorsieht, muss Ihr laufendes ISMS bis spätestens November 2025 die neuen Anforderungen erfüllen. Ein Audit kann bei einem beliebigen Audit im 3-jährigen Übergangszeitraum oder im Rahmen eines speziellen Übergangsausdit erfolgen.
Wann Sie den Übergang zur neuen Version vollziehen bleibt dabei Ihnen überlassen. Sie sollten sich aber auf alle Fälle zeitnah mit den neuen Anforderungen beschäftigen und beginnen diese umzusetzen. Machen Sie sich also mit der neuen Version vertraut. Stellen Sie sicher, dass die Mitglieder ihrer Organisation die neuen Anforderungen kennen und verstehen. Ermitteln Sie Lücken, bilden Sie diese in einem Umsetzungsplan ab und setzen Sie die Maßnahmen um. Nach der Umsetzung können Sie ihr Managementsystem aktualisieren, um die Erfüllung der Anforderungen zu dokumentieren.
