neue-iso-iec-27001-2022-blog-dqs-projektmanager unterhalten sich bei benutzung eines tablets in einer zentrale

Die neue ISO/IEC 27001:2022 – wesentliche Änderungen

Markus Jegelka

DQS-Experte & Auditor für Informationssicherheit
Sept. 21 , 2023
# Informations­sicherheit und Datenschutz

Wertschöpfende Geschäftsprozesse werden von Informationen und Daten getragen. Ohne Informationsaustausch funktioniert in unserem digitalen Wirtschaftsleben nichts. Unsere Grundversorgung basiert auf kritischen Infrastrukturen, deren Funktionsfähigkeit in hohem Maße vom Informations- und Datenaustausch abhängig ist. Informationssicherheit reicht weit in unsere Arbeits- und Lebenswirklichkeit. Der Schutz informationsgetragener täglicher Abläufe, kritischer Daten und geistigen Eigentums vor Cyberbedrohungen ist für Unternehmen jeder Größenordnung daher zwingend erforderlich. In Zeiten industrialisierter Cyberattacken erfordert die Anpassung an immer neue Informationssicherheitsrisiken einen zeitgemäßen und flexiblen Ansatz, um die Widerstandsfähigkeit von Unternehmen zu stärken.


Und genau hier setzt die neue ISO/IEC 27001:2022 mit ihrem Fokus auf Prozessorientierung beim Management der Informationssicherheit an. Seit mehr als zwei Jahrzehnten ist die Norm ISO 27001 eine etablierte, aber in die Jahre gekommene Prüfgrundlage für Informationssicherheits-Managementsysteme. Und trotz ihres Alters konnte die Norm laut ISO Survey im zurückliegenden Jahr 2022 mit einem Plus von 21 % an Zertifikaten zulegen. Vor dem Hintergrund der wachsenden Nachfrage nach einem zeitgemäßen Bewertungsrahmen für Informationssicherheit wurde am 25. Oktober 2022 die neue ISO/IEC 27001:2022 veröffentlicht. Was erwartet uns?

Die Neuerungen von ISO 27001:2022 im Überblick

ISO 27001 beschreibt die Rahmenbedingungen für ein Informationssicherheits-Managementsystem (kurz: ISMS) – und das für Unternehmen gleich welcher Organisationsstruktur, Größe oder Ausrichtung. Dreh- und Angelpunkt dabei ist das Risikomanagement. Sich ändernde Cyberbedrohungen nutzen immer neue potenzielle Schwachstellen in Unternehmen aus, mit dem Ziel, die Informationsflüsse und damit Geschäftsprozesse anzugreifen und zu kompromittieren. Die aus diesem Mechanismus entstehenden Risiken auf die drei wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – gilt es zu identifizieren und zu beherrschen.

Das Update von ISO/IEC 27001:2022 setzt bei den Best Practices zur Beherrschung dieser Informationssicherheitsrisiken an. Die Liste möglicher Informationssicherheitsmaßnahmen im normativen Anhang A der neuen ISO/IEC 27001:2022 ist identisch aus dem überarbeiteten Leitfaden ISO/IEC 27002:2022 abgeleitet.

Die Umsetzungsanleitung wurde bereits im Februar 2022 mit einer einfacheren Taxonomie und zeitgemäßen Sicherheitsmaßnahmen verabschiedet. Mit der veröffentlichten neuen ISO/IEC 27001:2022 entspricht das erfolgreiche ISO-Norm-Tandem 27001/27002 mit seinen wertvollen Maßnahmenempfehlungen wieder dem Stand der Technik.

DIN EN ISO/IEC 27001:2024-01  Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)

Die Norm ist auf der Homepage vom Beuth Verlag erhältlich. 

Eine weitere, wesentliche Änderung der neuen ISO/IEC 27001:2022 ist, dass mit Anpassung an die sogenannte Harmonized Structure die längst überfällige Anforderung an die Prozessorientierung in den Fokus eines wirksamen ISMS gestellt wird. Basis wirksamer Managementsysteme sind klare Prozesse und deren Wechselwirkungen sowie zielführende Kriterien für diese Prozesse zu deren Steuerung.

Im Weiteren werden die drei genannten Änderungsbereiche der neuen Version von ISO 27001:2022 genauer betrachtet.

 

High Level Structure wird zur Harmonized Structure

Im Mai 2021 hat die bisherige High Level Structure (HLS) mit der Harmonized Structure (HS) einen Nachfolger gefunden. Die HS ist die Grundstruktur und Vorlage für die Ausarbeitung neuer und zukünftiger Überarbeitungen bestehender ISO-Managementsystemnormen. ISO/IEC 27001:2022 ist eine der ersten Managementsystemnormen, die an die HS angepasst ist. Diverse Klarstellungen, Ergänzungen, aber auch Streichungen in der HS gegenüber der HLS sind eher für normaffine Anwender interessant.

Für ISO/IEC 27001:2022 ist allerdings eine wesentliche Ableitung aus der HS unmittelbar sichtbar. Zukünftig besteht mit Abschnitt 6.3 die Anforderung, Änderungen am ISMS geplant umzusetzen. Diese Anforderung ist aus anderen Managementsystemen bekannt und bringt die Erwartungshaltung zum Ausdruck, dass ein ISMS-bezogener Veränderungsprozess beherrscht wird. Beispielsweise kann der Übergang von der bisherigen ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022 als Änderung am ISMS verstanden werden, die mit allen Aus- und Wechselwirkungen geplant umgesetzt werden sollte.

iso 27001-whitepaper-fragen-antworten

„Die Neue“ für Informationssicherheit

44 Fragen und Antworten zu ISO/IEC 27001:2022

Wissenswerte Details zur revidierten ISO 27001 von Anwendern und Experten:

  • Was hat es mit den neuen Controls auf sich?
  • Was ist bei der Prozessorientierung zu beachten?
  • Wann sollen wir auf die neue Norm umsteigen?
  • ... und vieles andere mehr
Fragenkatalog kostenfrei herunterladen

Normative Änderungen in ISO/IEC 27001:2022

Eine ganz wesentliche Änderung ergänzt den Kontext der Organisation im Abschnitt 4.4 mit der Anforderung, erforderliche Prozesse und ihre Wechselwirkungen im Rahmen des ISMS zu bestimmen, die für seine Umsetzung und Aufrechterhaltung erforderlich sind. Diese ausdrückliche Anforderung bringt ISO/IEC 27001:2022 in Einklang mit dem Best-Practice-Ansatz anderer Managementsysteme gemäß HS (HLS). Das Informationssicherheits-Managementsystem muss auf etablierten, nachvollziehbaren Prozessen und deren Wechselwirkungen aufbauen. Die Informationssicherheitsmaßnahmen des Anhangs A werden dann um diese Prozesse herum ausgestaltet und angepasst.

Die nächste relevante Änderung in Abschnitt 8.1 unterstreicht ebenfalls die Bedeutung der Prozessorientierung, die allen HS-basierten Managementsystemen gemeinsam ist. Organisationen müssen im Rahmen ihrer betrieblichen Planung und Steuerung Prozesse realisieren, um die Maßnahmen zur Bewältigung der Informationssicherheitsrisiken umzusetzen. Neu ist, dass jetzt Prozesskriterien festzulegen sind. Die Prozesssteuerung ist in Übereinstimmung mit diesen Kriterien umzusetzen.

 

high level structure-dqs-whitepaper cover

Die 6 wichtigsten ISO-Normen

in grafischer Darstellung

Der Überblick, der weiterhilft:

  • Infografiken zu ISO 9001, ISO 14001, ISO 27001, ISO 45001, ISO 50001 und ISO 22301
  • Systeme nebeneinanderlegen und vergleichen
  • Synergien für ein integriertes Managementsystem erkennen
Whitepaper kostenfrei herunterladen

Weitere, eher geringfügige Klarstellungen und Präzisierungen wurden in folgenden Abschnitten vorgenommen:

  • Abschnitt 5.3 ist um die ausdrückliche Anforderung ergänzt, dass die Verantwortlichkeiten und Befugnisse für Rollen mit Bezug zur Informationssicherheit innerhalb der Organisation bekannt gemacht werden.
  • Abschnitt 7.4 regelt die Notwendigkeit für interne und externe Kommunikation in Bezug auf das ISMS. Neben den weiterhin zutreffenden Festlegungen zum Worüber, Wann und mit Wem ist das Wie der Kommunikation eine praktikable Vereinfachung gegenüber früheren Anforderungen.
  • Die Abschnitte 9.2 Internes Audit und 9.3 Managementbewertung sind an die Harmonized Structure angepasst. Abschnitt 9.2 untergliedert sich jetzt in 9.2.1 und 9.2.2, Abschnitt 9.3 ist in die drei Untergliederungen 9.3.1, 9.3.2 und 9.3.3 unterteilt. 
  • Die Gliederungsreihenfolge von Abschnitt 10.1 und von Abschnitt 10.2 ist an die Harmonized Structure angepasst. Der Aspekt der prospektiven fortlaufenden Verbesserung ist jetzt in Abschnitt 10.1 vor den retrospektiven Umgang mit Nichtkonformitäten und Korrekturmaßnahmen in Abschnitt 10.2 ohne weitere inhaltliche Änderungen vorangestellt. Diese Anpassung unterstreicht die Bedeutung des kontinuierlichen Verbesserungsprozesses (KVP).

Die wesentlichen und unmissverständlichen Anforderungen in ISO 27001, die auf den Maßnahmensatz des Anhang A referenzieren, sind gemäß Abschnitt 6.1.3 c) der Vergleichsprozess zwischen den organisationsspezifisch festgelegten Informationssicherheitsmaßnahmen mit denen des Anhang A sowie gemäß Abschnitt 6.1.3 d) die Erstellung einer Erklärung zur Anwendbarkeit (SoA). Diese Kernanforderungen bleiben unverändert bestehen!

Die Erläuterungen in den informativen (nicht normativen) Anmerkungen zu Abschnitt 6.1.3 c) mit dem Verweis auf Anhang A als Liste möglicher (possible) Informationssicherheitsmaßnahmen weisen auf die Möglichkeit hin, zusätzliche Maßnahmen aus weiteren Quellen ergänzend zum Anhang A auszuwählen.

 

Der neue Anhang A von ISO/IEC 27001:2022

Die Liste der möglichen Informationssicherheitsmaßnahmen (IS-Maßnahmen) im normativen Anhang A von ISO/IEC 27001:2022 ist identisch aus ISO/IEC 27002:2022 abgeleitet. Der Katalog allgemeiner Sicherheitsmaßnahmen wurde im Februar 2022 veröffentlicht. Daher waren die Änderungen des Anhang A von ISO/IEC 27001:2022 schon länger absehbar.

Abgesehen davon, dass mit der neuen ISO/IEC 27001:2022 die Maßnahmenziele entfallen, wurden die Sicherheitsmaßnahmen im Anhang A grundlegend überarbeitet, auf den neuesten Stand gebracht sowie um einige neue Maßnahmen ergänzt und neu geordnet.

Bislang umfasste der Anhang A insgesamt 114 Maßnahmen, die unter 35 Maßnahmenzielen gegliedert in 14 Abschnitten zur Behandlung von Informationssicherheitsrisiken herangezogen werden konnten. Die ehemals 14 Abschnitte konzentrieren sich jetzt auf die 4 folgenden Themenbereiche:

A.5       Organisatorische Maßnahmen (mit 37 Maßnahmen)

A.6       Personenbezogene Maßnahmen (mit 8 Maßnahmen)

A.7       Physische Maßnahmen (mit 14 Maßnahmen)

A.8       Technische Maßnahmen (mit 34 Maßnahmen)

Der Anhang A der neuen Version ISO/IEC 27001:2022 umfasst jetzt in Summe 93 Maßnahmen (Controls), von denen die folgenden 11 Maßnahmen neu eingeführt wurden:

A.5.7         Bedrohungsintelligenz

A.5.23       Informationssicherheit in der Cloud

A.5.30       IKT-Bereitschaft für Business Continuity

A.7.4         Physische Sicherheitsüberwachung

A.8.9         Konfigurationsmanagement

A.8.10       Löschung von Informationen

A.8.11       Datenmaskierung

A.8.12       Verhinderung von Datenlecks

A.8.16       Überwachung von Aktivitäten

A.8.23       Webfilterung

A.8.28       Secure Coding

new-iso-iec-27001-2022-dqs-shutterstock-1682600902.jpg

Der sichere Übergang

zur neuen ISO/IEC 27001:2022

In diesem Workshop fokussieren sich unsere Experten auf die neue Normstruktur und die erweiterten Normanforderungen. Sie erkennen die Bezüge zu Ihrem vorhandenen Managementsystem und erfahren, was für eine Umstellung nötig ist. Aus dem Inhalt: 

  • Eine Gap-Analyse vornehmen und Maßnahmen zur Umsetzung der neuen Anforderungen ableiten
  • Ihr Managementsystem normkonform aktualisieren
  • Den Übergang in der Unternehmenszertifizierung gestalten
Jetzt Teilnahme sichern

Während sich der Anhang A von ISO/IEC 27001:2022 auf die Nennung der Maßnahmen beschränkt, werden in der Umsetzungsanleitung ISO/IEC 27002:2022 weitere Möglichkeiten zur Kategorisierung der IS‑Maßnahmen angeboten. Dort sind jeder Maßnahme 5 Attribute zugeordnet, die verschiedene Sichten und Perspektiven auf die Maßnahmen ermöglichen. Die Attribute beziehungsweise ihre Attributwerte können zum Filtern, Sortieren oder zur Darstellung für unterschiedliche Organisationssichten verwendet werden.

Die fünf Attribute sind:

Maßnahmenart ist ein Attribut für die Sicht auf die Maßnahmen unter dem Gesichtspunkt, wann und wie eine Maßnahme das Risiko in Bezug auf das Auftreten eines Informationssicherheitsvorfalls verändert.

Informationssicherheitseigenschaften sind ein Attribut, mit dem Maßnahmen unter dem Gesichtspunkt betrachtet werden können, welches Schutzziel durch die Maßnahme unterstützt werden soll.

Cybersicherheitskonzepte betrachtet Maßnahmen aus der Perspektive der Zuordnung von Maßnahmen zu dem in ISO/IEC TS 27110 beschriebenen Cybersicherheitsrahmenwerk.

Betriebsfähigkeit betrachtet Maßnahmen aus der Perspektive ihrer operativen Informationssicherheitsfähigkeiten und unterstützt eine praktische Anwendersicht auf die Maßnahmen.

Sicherheitsdomänen sind ein Attribut, mit dem Maßnahmen aus der Perspektive von vier Informationssicherheitsdomänen betrachtet werden können.

ISO 27001 Zertifikat

Ganzheitliches Managementsystem nach ISO-Standard ★ wirksame Umsetzung eines Risikomanagementprozesses ★ fortlaufende Verbesserung des Sicherheitsniveaus

Weitere Informationen zur ISO 27001 Zertifizierung

Was bedeutet das Update für Ihre Zertifizierung?

ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:

Letzter Termin für die Erst-/Rezertifizierungsaudits nach der „alten“ Version:

  • Nach dem 30. April 2024 wird die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen Norm ISO/IEC 27001:2022 durchführen.

Umstellung aller bestehenden Zertifikate nach der „alten“ ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022:

  • Es gilt eine 3-jährige Übergangsfrist ab dem 31. Oktober 2022.
  • Ausgestellte Zertifikate nach den alten Versionen ISO/IEC 27001:2013 oder DIN EN ISO/IEC 27001:2017 sind längstens bis zum 31. Oktober 2025 gültig und müssen zu diesem Datum zurückgezogen werden.

Die neue ISO/IEC 27001:2022 – Fazit

Die neue ISO/IEC 27001:2022 liegt seit Oktober 2022 vor. Damit beginnt die 3-jährige Übergangsfrist. 

Die Revision setzt bei den Best Practices zur Beherrschung der Informationssicherheitsrisiken an. Die Liste möglicher Informationssicherheitsmaßnahmen im normativen Anhang A der revidierten Norm ist identisch aus dem überarbeiteten Leitfaden ISO/IEC 27002:2022 abgeleitet.

Die wesentlichen Neuerungen sind zusammengefasst die Folgenden:

  • Übereinstimmung des Managementsystems mit der Harmonized Structure
  • Betonung der Prozessorientierung, ihrer Wechselwirkungen und Kriterien
  • Vereinfachte und gestraffte Kategorisierung der Maßnahmen in Themenblöcken
  • Zeitgemäße Maßnahmen, die auf aktuelle Organisationsmethoden und damit verbundene Bedrohungen abgestimmt sind
  • Attribute für die Anpassung der Maßnahmen an verschiedene Methoden zum Risikomanagement, einschließlich globaler Cybersicherheits-Rahmenwerke

Bei der DQS in guten Händen

So selbstständig jedes Unternehmen und jede Organisation mit ihrem Managementsystem umgeht – so unterschiedlich sind auch die Ziele, die sie damit verfolgen. Und ihre Pläne und Wünsche, wie und wann der Übergang auf die neue Version von ISO/IEC 27001:2022 erfolgen soll, sicher auch.

Das aktuelle ISO 27001 Update ersetzt die bisherige Norm ISO/IEC 27001:2013 beziehungsweise die deutsche Ausgabe DIN EN ISO/IEC 27001:2017. Da ein Übergangszeitraum von 3 Jahren besteht, verlieren Zertifikate auf Basis der alten Normen am 31. Oktober 2025 ihre Gültigkeit.

Nutzen Sie das Wissen unserer Experten. Informieren Sie sich über die wichtigsten Änderungen der neuen Norm und die Bedeutung für Ihre Organisation. Wir stehen seit mehr als 35 Jahren für unparteiliche Audits und Zertifizierungen. Unsere Auditoren richten dabei den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. Nehmen Sie uns beim Wort. Wir freuen uns auf den Kontakt mit Ihnen.

gerber-hermsdorf-werner-korall-audit dqs

Sie haben Fragen zur neuen ISO 27001?

Kontaktieren Sie uns! Ganz unverbindlich und kostenfrei.

Ihr Kontakt zur DQS

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
Markus Jegelka

DQS-Fachexperte für Informationssicherheitsmanagementsysteme (ISMS), langjähriger Auditor für die Regelwerke ISO 9001, ISO/IEC 27001 und  
IT-Sicherheitskataloge § 11 Abs. 1a/b EnWG mit Prüfverfahrenskompetenz für § 8a (3) BSIG

Sie haben Fragen?

Wir sind für Sie da.
Kontaktieren Sie uns