Weitere, eher geringfügige Klarstellungen und Präzisierungen wurden in folgenden Abschnitten vorgenommen:
- Abschnitt 5.3 ist um die ausdrückliche Anforderung ergänzt, dass die Verantwortlichkeiten und Befugnisse für Rollen mit Bezug zur Informationssicherheit innerhalb der Organisation bekannt gemacht werden.
- Abschnitt 7.4 regelt die Notwendigkeit für interne und externe Kommunikation in Bezug auf das ISMS. Neben den weiterhin zutreffenden Festlegungen zum Worüber, Wann und mit Wem ist das Wie der Kommunikation eine praktikable Vereinfachung gegenüber früheren Anforderungen.
- Die Abschnitte 9.2 Internes Audit und 9.3 Managementbewertung sind an die Harmonized Structure angepasst. Abschnitt 9.2 untergliedert sich jetzt in 9.2.1 und 9.2.2, Abschnitt 9.3 ist in die drei Untergliederungen 9.3.1, 9.3.2 und 9.3.3 unterteilt.
- Die Gliederungsreihenfolge von Abschnitt 10.1 und von Abschnitt 10.2 ist an die Harmonized Structure angepasst. Der Aspekt der prospektiven fortlaufenden Verbesserung ist jetzt in Abschnitt 10.1 vor den retrospektiven Umgang mit Nichtkonformitäten und Korrekturmaßnahmen in Abschnitt 10.2 ohne weitere inhaltliche Änderungen vorangestellt. Diese Anpassung unterstreicht die Bedeutung des kontinuierlichen Verbesserungsprozesses (KVP).
Die wesentlichen und unmissverständlichen Anforderungen in ISO 27001, die auf den Maßnahmensatz des Anhang A referenzieren, sind gemäß Abschnitt 6.1.3 c) der Vergleichsprozess zwischen den organisationsspezifisch festgelegten Informationssicherheitsmaßnahmen mit denen des Anhang A sowie gemäß Abschnitt 6.1.3 d) die Erstellung einer Erklärung zur Anwendbarkeit (SoA). Diese Kernanforderungen bleiben unverändert bestehen!
Die Erläuterungen in den informativen (nicht normativen) Anmerkungen zu Abschnitt 6.1.3 c) mit dem Verweis auf Anhang A als Liste möglicher (possible) Informationssicherheitsmaßnahmen weisen auf die Möglichkeit hin, zusätzliche Maßnahmen aus weiteren Quellen ergänzend zum Anhang A auszuwählen.
Der neue Anhang A von ISO/IEC 27001:2022
Die Liste der möglichen Informationssicherheitsmaßnahmen (IS-Maßnahmen) im normativen Anhang A von ISO/IEC 27001:2022 ist identisch aus ISO/IEC 27002:2022 abgeleitet. Der Katalog allgemeiner Sicherheitsmaßnahmen wurde im Februar 2022 veröffentlicht. Daher waren die Änderungen des Anhang A von ISO/IEC 27001:2022 schon länger absehbar.
Abgesehen davon, dass mit der neuen ISO/IEC 27001:2022 die Maßnahmenziele entfallen, wurden die Sicherheitsmaßnahmen im Anhang A grundlegend überarbeitet, auf den neuesten Stand gebracht sowie um einige neue Maßnahmen ergänzt und neu geordnet.
Bislang umfasste der Anhang A insgesamt 114 Maßnahmen, die unter 35 Maßnahmenzielen gegliedert in 14 Abschnitten zur Behandlung von Informationssicherheitsrisiken herangezogen werden konnten. Die ehemals 14 Abschnitte konzentrieren sich jetzt auf die 4 folgenden Themenbereiche:
A.5 Organisatorische Maßnahmen (mit 37 Maßnahmen)
A.6 Personenbezogene Maßnahmen (mit 8 Maßnahmen)
A.7 Physische Maßnahmen (mit 14 Maßnahmen)
A.8 Technische Maßnahmen (mit 34 Maßnahmen)
Der Anhang A der neuen Version ISO/IEC 27001:2022 umfasst jetzt in Summe 93 Maßnahmen (Controls), von denen die folgenden 11 Maßnahmen neu eingeführt wurden:
A.5.7 Bedrohungsintelligenz
A.5.23 Informationssicherheit in der Cloud
A.5.30 IKT-Bereitschaft für Business Continuity
A.7.4 Physische Sicherheitsüberwachung
A.8.9 Konfigurationsmanagement
A.8.10 Löschung von Informationen
A.8.11 Datenmaskierung
A.8.12 Verhinderung von Datenlecks
A.8.16 Überwachung von Aktivitäten
A.8.23 Webfilterung
A.8.28 Secure Coding