Die neue ISO/IEC 27001:2022 – wesentliche Änderungen

• Die Neuerungen von ISO 27001:2022 im Überblick
• High Level Structure wird zur Harmonized Struture
• Normative Änderungen in ISO/IEC 27001:2022
• Der neue Anhang A von ISO/IEC 27001:2022
• Was bedeutet das Update für Ihre Zertifizierung?
• Die neue ISO/IEC 27001:2022 – Fazit

Die Neuerungen von ISO 27001:2022 im Überblick

ISO 27001 beschreibt die Rahmenbedingungen für ein Informationssicherheits-Managementsystem (kurz: ISMS) – und das für Unternehmen gleich welcher Organisationsstruktur, Größe oder Ausrichtung. Dreh- und Angelpunkt dabei ist das Risikomanagement. Sich ändernde Cyberbedrohungen nutzen immer neue potenzielle Schwachstellen in Unternehmen aus, mit dem Ziel, die Informationsflüsse und damit Geschäftsprozesse anzugreifen und zu kompromittieren. Die aus diesem Mechanismus entstehenden Risiken auf die drei wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – gilt es zu identifizieren und zu beherrschen.

Das Update von ISO/IEC 27001:2022 setzt bei den Best Practices zur Beherrschung dieser Informationssicherheitsrisiken an. Die Liste möglicher Informationssicherheitsmaßnahmen im normativen Anhang A der neuen ISO/IEC 27001:2022 ist identisch aus dem überarbeiteten Leitfaden ISO/IEC 27002:2022 abgeleitet. Die Umsetzungsanleitung wurde bereits im Februar dieses Jahres mit einer einfacheren Taxonomie und zeitgemäßen Sicherheitsmaßnahmen verabschiedet. Mit der nun veröffentlichten neuen ISO/IEC 27001:2022 entspricht das erfolgreiche ISO-Norm-Tandem 27001/27002 mit seinen wertvollen Maßnahmenempfehlungen wieder dem Stand der Technik.

Eine weitere, wesentliche Änderung der neuen ISO/IEC 27001:2022 ist, dass mit Anpassung an die sogenannte Harmonized Structure die längst überfällige Anforderung an die Prozessorientierung in den Fokus eines wirksamen ISMS gestellt wird. Basis wirksamer Managementsysteme sind klare Prozesse und deren Wechselwirkungen sowie zielführende Kriterien für diese Prozesse zu deren Steuerung.

Im Weiteren werden die drei genannten Änderungsbereiche der neuen Version von ISO 27001 genauer betrachtet.

High Level Structure wird zur Harmonized Structure

Im Mai 2021 hat die bisherige High Level Structure (HLS) mit der Harmonized Structure (HS) einen Nachfolger gefunden. Die HS ist die Grundstruktur und Vorlage für die Ausarbeitung neuer und zukünftiger Überarbeitungen bestehender ISO-Managementsystemnormen. ISO/IEC 27001:2022 ist eine der ersten Managementsystemnormen, die an die HS angepasst ist. Diverse Klarstellungen, Ergänzungen, aber auch Streichungen in der HS gegenüber der HLS sind eher für normaffine Anwender interessant.

Für ISO/IEC 27001:2022 ist allerdings eine wesentliche Ableitung aus der HS unmittelbar sichtbar. Zukünftig besteht mit Abschnitt 6.3 die Anforderung, Änderungen am ISMS geplant umzusetzen. Diese Anforderung ist aus anderen Managementsystemen bekannt und bringt die Erwartungshaltung zum Ausdruck, dass ein ISMS-bezogener Veränderungsprozess beherrscht wird. Beispielsweise kann der Übergang von der bisherigen ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022 als Änderung am ISMS verstanden werden, die mit allen Aus- und Wechselwirkungen geplant umgesetzt werden sollte.

Normative Änderungen in ISO/IEC 27001:2022

Eine ganz wesentliche Änderung ergänzt den Kontext der Organisation im Abschnitt 4.4 mit der Anforderung, erforderliche Prozesse und ihre Wechselwirkungen im Rahmen des ISMS zu bestimmen, die für seine Umsetzung und Aufrechterhaltung erforderlich sind. Diese ausdrückliche Anforderung bringt ISO/IEC 27001:2022 in Einklang mit dem Best-Practice-Ansatz anderer Managementsysteme gemäß HS (HLS). Das Informationssicherheits-Managementsystem muss auf etablierten, nachvollziehbaren Prozessen und deren Wechselwirkungen aufbauen. Die Informationssicherheitsmaßnahmen des Anhangs A werden dann um diese Prozesse herum ausgestaltet und angepasst.

Die nächste relevante Änderung in Abschnitt 8.1 unterstreicht ebenfalls die Bedeutung der Prozessorientierung, die allen HS-basierten Managementsystemen gemeinsam ist. Organisationen müssen im Rahmen ihrer betrieblichen Planung und Steuerung Prozesse realisieren, um die Maßnahmen zur Bewältigung der Informationssicherheitsrisiken umzusetzen. Neu ist, dass jetzt Prozesskriterien festzulegen sind. Die Prozesssteuerung ist in Übereinstimmung mit diesen Kriterien umzusetzen.

Weitere, eher geringfügige Klarstellungen und Präzisierungen wurden in folgenden Abschnitten vorgenommen:

• Abschnitt 5.3 ist um die ausdrückliche Anforderung ergänzt, dass die Verantwortlichkeiten und Befugnisse für Rollen mit Bezug zur Informationssicherheit innerhalb der Organisation bekannt gemacht werden.
• Abschnitt 7.4 regelt die Notwendigkeit für interne und externe Kommunikation in Bezug auf das ISMS. Neben den weiterhin zutreffenden Festlegungen zum Worüber, Wann und mit Wem ist das Wie der Kommunikation eine praktikable Vereinfachung gegenüber früheren Anforderungen.
• Die Abschnitte 9.2 Internes Audit und 9.3 Managementbewertung sind an die Harmonized Structure angepasst. Abschnitt 9.2 untergliedert sich jetzt in 9.2.1 und 9.2.2, Abschnitt 9.3 ist in die drei Untergliederungen 9.3.1, 9.3.2 und 9.3.3 unterteilt. 
• Die Gliederungsreihenfolge von Abschnitt 10.1 und von Abschnitt 10.2 ist an die Harmonized Structure angepasst. Der Aspekt der prospektiven fortlaufenden Verbesserung ist jetzt in Abschnitt 10.1 vor den retrospektiven Umgang mit Nichtkonformitäten und Korrekturmaßnahmen in Abschnitt 10.2 ohne weitere inhaltliche Änderungen vorangestellt. Diese Anpassung unterstreicht die Bedeutung des kontinuierlichen Verbesserungsprozesses (KVP).

Die wesentlichen und unmissverständlichen Anforderungen in ISO/IEC 27001, die auf den Maßnahmensatz des Anhang A referenzieren, sind gemäß Abschnitt 6.1.3 c) der Vergleichsprozess zwischen den organisationsspezifisch festgelegten Informationssicherheitsmaßnahmen mit denen des Anhang A sowie gemäß Abschnitt 6.1.3 d) die Erstellung einer Erklärung zur Anwendbarkeit (SoA). Diese Kernanforderungen bleiben unverändert bestehen!

Die Erläuterungen in den informativen (nicht normativen) Anmerkungen zu Abschnitt 6.1.3 c) mit dem Verweis auf Anhang A als Liste möglicher (possible) Informationssicherheitsmaßnahmen weisen auf die Möglichkeit hin, zusätzliche Maßnahmen aus weiteren Quellen ergänzend zum Anhang A auszuwählen.

Der neue Anhang A von ISO/IEC 27001:2022

Die Liste der möglichen Informationssicherheitsmaßnahmen (IS-Maßnahmen) im normativen Anhang A von ISO/IEC 27001:2022 ist identisch aus ISO/IEC 27002:2022 abgeleitet. Der Katalog allgemeiner Sicherheitsmaßnahmen wurde im Februar 2022 veröffentlicht. Daher waren die Änderungen des Anhang A von ISO/IEC 27001:2022 schon länger absehbar.

Abgesehen davon, dass mit der neuen ISO/IEC 27001:2022 die Maßnahmenziele entfallen, sind die Informationssicherheitsmaßnahmen im Anhang A überarbeitet, auf den neuesten Stand gebracht sowie um einige neue Maßnahmen ergänzt und neu geordnet.

Bislang umfasste der Anhang A insgesamt 114 Maßnahmen, die unter 35 Maßnahmenzielen gegliedert in 14 Abschnitten zur Behandlung von Informationssicherheitsrisiken herangezogen werden konnten. Die ehemals 14 Abschnitte konzentrieren sich jetzt auf die 4 folgenden Themenbereiche:

A.5       Organisatorische Maßnahmen (mit 37 Maßnahmen)

A.6       Personenbezogene Maßnahmen (mit 8 Maßnahmen)

A.7       Physische Maßnahmen (mit 14 Maßnahmen)

A.8       Technische Maßnahmen (mit 34 Maßnahmen)

Der Anhang A der neuen Version ISO/IEC 27001:2022 umfasst jetzt in Summe 93 Maßnahmen, von denen die folgenden 11 Maßnahmen neu eingeführt wurden:

A.5.7         Bedrohungsintelligenz

A.5.23       Informationssicherheit für die Nutzung von Cloud-Diensten

A.5.30       IKT-Bereitschaft für Business Continuity

A.7.4         Physische Sicherheitsüberwachung

A.8.9         Konfigurationsmanagement

A.8.10       Löschung von Informationen

A.8.11       Datenmaskierung

A.8.12       Verhinderung von Datenlecks

A.8.16       Überwachung von Aktivitäten

A.8.23       Webfilterung

A.8.28       Sicheres Coding

Während sich der Anhang A von ISO/IEC 27001:2022 auf die Nennung der Maßnahmen beschränkt, werden in der Umsetzungsanleitung ISO/IEC 27002:2022 weitere Möglichkeiten zur Kategorisierung der IS‑Maßnahmen angeboten. Dort sind jeder Maßnahme 5 Attribute zugeordnet, die verschiedene Sichten und Perspektiven auf die Maßnahmen ermöglichen. Die Attribute bzw. ihre Attributwerte können zum Filtern, Sortieren oder zur Darstellung für unterschiedliche Organisationssichten verwendet werden.

Die fünf Attribute sind:

Maßnahmenart ist ein Attribut für die Sicht auf die Maßnahmen unter dem Gesichtspunkt, wann und wie eine Maßnahme das Risiko in Bezug auf das Auftreten eines Informationssicherheitsvorfalls verändert.

Informationssicherheitseigenschaften sind ein Attribut, mit dem Maßnahmen unter dem Gesichtspunkt betrachtet werden können, welches Schutzziel durch die Maßnahme unterstützt werden soll.

Cybersicherheitskonzepte betrachtet Maßnahmen aus der Perspektive der Zuordnung von Maßnahmen zu dem in ISO/IEC TS 27110 beschriebenen Cybersicherheitsrahmenwerk.

Betriebsfähigkeit betrachtet Maßnahmen aus der Perspektive ihrer operativen Informationssicherheitsfähigkeiten und unterstützt eine praktische Anwendersicht auf die Maßnahmen.

Sicherheitsdomänen sind ein Attribut, mit dem Maßnahmen aus der Perspektive von vier Informationssicherheitsdomänen betrachtet werden können.

Was bedeutet das Update für Ihre Zertifizierung?

Die neue und verbesserte Version von ISO/IEC 27001 wurde am 25. Oktober 2022 veröffentlicht. Daraus ergeben sich für Normanwender folgende Zeiträume und Fristen für den Übergang:

• Zertifizierungsbereitschaft nach ISO/IEC 27001:2022
  -> voraussichtlich ab Juni / Juli 2023
      (abhängig von DAkkS Deutsche Akkreditierungsstelle GmbH)
• Letzter Termin für Erst-/Rezertifizierungsaudits nach der früheren ISO 27001:2013
  -> 18 Monate nach Veröffentlichung der neuen ISO/IEC 27001:2022
• Umstellung aller bestehenden Zertifikate auf die neue ISO/IEC 27001:2022
  -> 3 Jahre, bezogen auf letzten Tag des Ausgabemonats von
      ISO/IEC 27001:2022 (Oktober 2025)

Die Fristen für den Übergang sind ISO-üblich.

Die neue ISO/IEC 27001:2022 – Fazit

Die neue ISO/IEC 27001:2022 liegt vor. Damit beginnt die 3-jährige Übergangsfrist.

Die wesentlichen Neuerungen sind zusammengefasst die Folgenden:

• Übereinstimmung des Managementsystems mit der Harmonized Structure.
• Betonung der Prozessorientierung, ihrer Wechselwirkungen und Kriterien.
• Vereinfachte und gestraffte Kategorisierung der Maßnahmen in Themenblöcken.
• Zeitgemäße Maßnahmen, die auf aktuelle Organisationsmethoden und damit verbundene Bedrohungen abgestimmt sind.
• Attribute für die Anpassung der Maßnahmen an verschiedene Methoden zum Risikomanagement, einschließlich globaler Cybersicherheits-Rahmenwerke.

Bei der DQS in guten Händen

So selbstständig jedes Unternehmen und jede Organisation mit ihrem Managementsystem umgeht – so unterschiedlich sind auch die Ziele, die sie damit verfolgen. Und ihre Pläne und Wünsche, wie und wann der Übergang auf die neue Version von ISO/IEC 27001:2022 erfolgen soll, sicher auch.

Das aktuelle ISO 27001 Update ersetzt die bisherige Norm ISO/IEC 27001:2013 beziehungsweise die deutsche Ausgabe DIN EN ISO/IEC 27001:2017. Da von einem Übergangszeitraum von 3 Jahren auszugehen ist, verlieren Zertifikate auf Basis der alten Normen voraussichtlich im Oktober 2025 ihre Gültigkeit.

Nutzen Sie das Wissen unserer Experten. Informieren Sie sich über die wichtigsten Änderungen der neuen Norm und die Bedeutung für Ihre Organisation. Wir stehen seit mehr als 35 Jahren für unparteiliche Audits und Zertifizierungen. Unsere Auditoren richten dabei den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. Nehmen Sie uns beim Wort. Wir freuen uns auf den Kontakt mit Ihnen.