Wertschöpfende Geschäftsprozesse werden von In­for­ma­tio­nen und Daten ge­tra­gen. Ohne In­for­ma­ti­ons­aus­tausch funk­tio­niert in unserem di­gi­ta­len Wirt­schafts­le­ben nichts. Unsere Grund­ver­sor­gung basiert auf kri­ti­schen In­fra­struk­tu­ren, deren Funktionsfähigkeit in hohem Maße vom In­for­ma­ti­ons- und Da­ten­aus­tausch abhängig ist. In­for­ma­ti­ons­si­cher­heit reicht weit in unsere Arbeits- und Le­bens­wirk­lich­keit. Der Schutz in­for­ma­ti­ons­ge­tra­ge­ner täglicher Abläufe, kri­ti­scher Daten und geis­ti­gen Ei­gen­tums vor Cy­ber­be­dro­hun­gen ist für Un­ter­neh­men jeder Größenordnung daher zwingend er­for­der­lich. In Zeiten in­dus­tria­li­sier­ter Cy­ber­at­ta­cken er­for­dert die An­pas­sung an immer neue In­for­ma­ti­ons­si­cher­heits­ri­si­ken einen zeitgemäßen und fle­xi­blen Ansatz, um die Widerstandsfähigkeit von Un­ter­neh­men zu stärken.

Und genau hier setzt die neue ISO/IEC 27001:2022 mit ihrem Fokus auf Pro­zess­ori­en­tie­rung beim Ma­nage­ment der In­for­ma­ti­ons­si­cher­heit an. Seit mehr als zwei Jahr­zehn­ten ist die Norm ISO 27001 eine eta­blier­te, aber in die Jahre ge­kom­me­ne Prüfgrundlage für In­for­ma­ti­ons­si­cher­heits-Ma­nage­ment­sys­te­me. Und trotz ihres Alters konnte die Norm laut ISO Survey im zurückliegenden Jahr 2022 mit einem Plus von 21 % an Zer­ti­fi­ka­ten zulegen. Vor dem Hin­ter­grund der wach­sen­den Nach­fra­ge nach einem zeitgemäßen Be­wer­tungs­rah­men für In­for­ma­ti­ons­si­cher­heit wurde am 25. Oktober 2022 die neue ISO/IEC 27001:2022 veröffentlicht. Was erwartet uns?

Loading...

Die Neuerungen von ISO 27001:2022 im Überblick

ISO 27001 beschreibt die Rahmenbedingungen für ein Informationssicherheits-Managementsystem (kurz: ISMS) – und das für Unternehmen gleich welcher Organisationsstruktur, Größe oder Ausrichtung. Dreh- und Angelpunkt dabei ist das Risikomanagement. Sich ändernde Cyberbedrohungen nutzen immer neue potenzielle Schwachstellen in Unternehmen aus, mit dem Ziel, die Informationsflüsse und damit Geschäftsprozesse anzugreifen und zu kompromittieren. Die aus diesem Mechanismus entstehenden Risiken auf die drei wesentlichen Schutzziele der Informationssicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – gilt es zu identifizieren und zu beherrschen.

Das Update von ISO/IEC 27001:2022 setzt bei den Best Practices zur Beherrschung dieser Informationssicherheitsrisiken an. Die Liste möglicher Informationssicherheitsmaßnahmen im normativen Anhang A der neuen ISO/IEC 27001:2022 ist identisch aus dem überarbeiteten Leitfaden ISO/IEC 27002:2022 abgeleitet.

Die Umsetzungsanleitung wurde bereits im Februar 2022 mit einer einfacheren Taxonomie und zeitgemäßen Sicherheitsmaßnahmen verabschiedet. Mit der veröffentlichten neuen ISO/IEC 27001:2022 entspricht das erfolgreiche ISO-Norm-Tandem 27001/27002 mit seinen wertvollen Maßnahmenempfehlungen wieder dem Stand der Technik.

DIN EN ISO/IEC 27001:2024-01  Informationssicherheit, Cy­ber­si­cher­heit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen (ISO/IEC 27001:2022)

Die Norm ist auf der Homepage vom Beuth Ver­lag erhältlich. 

Eine weitere, wesentliche Änderung der neuen ISO/IEC 27001:2022 ist, dass mit Anpassung an die sogenannte Harmonized Structure die längst überfällige Anforderung an die Prozessorientierung in den Fokus eines wirksamen ISMS gestellt wird. Basis wirksamer Managementsysteme sind klare Prozesse und deren Wechselwirkungen sowie zielführende Kriterien für diese Prozesse zu deren Steuerung.

Im Weiteren werden die drei genannten Änderungsbereiche der neuen Version von ISO 27001:2022 genauer betrachtet.

 

High Level Structure wird zur Harmonized Structure

Im Mai 2021 hat die bisherige High Level Structure (HLS) mit der Harmonized Structure (HS) einen Nachfolger gefunden. Die HS ist die Grundstruktur und Vorlage für die Ausarbeitung neuer und zukünftiger Überarbeitungen bestehender ISO-Managementsystemnormen. ISO/IEC 27001:2022 ist eine der ersten Managementsystemnormen, die an die HS angepasst ist. Diverse Klarstellungen, Ergänzungen, aber auch Streichungen in der HS gegenüber der HLS sind eher für normaffine Anwender interessant.

Für ISO/IEC 27001:2022 ist allerdings eine wesentliche Ableitung aus der HS unmittelbar sichtbar. Zukünftig besteht mit Abschnitt 6.3 die Anforderung, Änderungen am ISMS geplant umzusetzen. Diese Anforderung ist aus anderen Managementsystemen bekannt und bringt die Erwartungshaltung zum Ausdruck, dass ein ISMS-bezogener Veränderungsprozess beherrscht wird. Beispielsweise kann der Übergang von der bisherigen ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022 als Änderung am ISMS verstanden werden, die mit allen Aus- und Wechselwirkungen geplant umgesetzt werden sollte.

iso 27001-whitepaper-fragen-antworten
Loading...

„Die Neue“ für In­for­ma­ti­ons­si­cher­heit

44 Fragen und Ant­wor­ten zu ISO/IEC 27001:2022

Wissenswerte Details zur re­vi­dier­ten ISO 27001 von An­wen­dern und Ex­per­ten:

  • Was hat es mit den neuen Controls auf sich?
  • Was ist bei der Pro­zess­ori­en­tie­rung zu be­ach­ten?
  • Wann sollen wir auf die neue Norm um­stei­gen?
  • ... und vieles andere mehr

Normative Änderungen in ISO/IEC 27001:2022

Eine ganz wesentliche Änderung ergänzt den Kontext der Organisation im Abschnitt 4.4 mit der Anforderung, erforderliche Prozesse und ihre Wechselwirkungen im Rahmen des ISMS zu bestimmen, die für seine Umsetzung und Aufrechterhaltung erforderlich sind. Diese ausdrückliche Anforderung bringt ISO/IEC 27001:2022 in Einklang mit dem Best-Practice-Ansatz anderer Managementsysteme gemäß HS (HLS). Das Informationssicherheits-Managementsystem muss auf etablierten, nachvollziehbaren Prozessen und deren Wechselwirkungen aufbauen. Die Informationssicherheitsmaßnahmen des Anhangs A werden dann um diese Prozesse herum ausgestaltet und angepasst.

Die nächste relevante Änderung in Abschnitt 8.1 unterstreicht ebenfalls die Bedeutung der Prozessorientierung, die allen HS-basierten Managementsystemen gemeinsam ist. Organisationen müssen im Rahmen ihrer betrieblichen Planung und Steuerung Prozesse realisieren, um die Maßnahmen zur Bewältigung der Informationssicherheitsrisiken umzusetzen. Neu ist, dass jetzt Prozesskriterien festzulegen sind. Die Prozesssteuerung ist in Übereinstimmung mit diesen Kriterien umzusetzen.

 

Cover sheet for german whitepaper iso 27001 new controls with pdf
Loading...

ISO 27001:2022 – Controls im neuen Anhang A

Kos­ten­frei­es White­pa­per

Mit der überarbeiteten ISO/IEC 27001:2022 und den neuen, zeitgemäßen Informationssicherheitsmaßnahmen (Con­trols) im nor­ma­ti­ven Anhang A können Sie si­cher­stel­len, dass Ihre Or­ga­ni­sa­ti­on optimal gegen moderne Be­dro­hun­gen geschützt ist.

Pro­fi­tie­ren Sie von Know-how unserer Ex­per­ten. Erfahren Sie alles über die 11 neuen und 24 zusammengeführten Controls und was bei der Um­set­zung zu beachten ist.

Weitere, eher geringfügige Klarstellungen und Präzisierungen wurden in folgenden Abschnitten vorgenommen:

  • Abschnitt 5.3 ist um die ausdrückliche Anforderung ergänzt, dass die Verantwortlichkeiten und Befugnisse für Rollen mit Bezug zur Informationssicherheit innerhalb der Organisation bekannt gemacht werden.
  • Abschnitt 7.4 regelt die Notwendigkeit für interne und externe Kommunikation in Bezug auf das ISMS. Neben den weiterhin zutreffenden Festlegungen zum Worüber, Wann und mit Wem ist das Wie der Kommunikation eine praktikable Vereinfachung gegenüber früheren Anforderungen.
  • Die Abschnitte 9.2 Internes Audit und 9.3 Managementbewertung sind an die Harmonized Structure angepasst. Abschnitt 9.2 untergliedert sich jetzt in 9.2.1 und 9.2.2, Abschnitt 9.3 ist in die drei Untergliederungen 9.3.1, 9.3.2 und 9.3.3 unterteilt. 
  • Die Gliederungsreihenfolge von Abschnitt 10.1 und von Abschnitt 10.2 ist an die Harmonized Structure angepasst. Der Aspekt der prospektiven fortlaufenden Verbesserung ist jetzt in Abschnitt 10.1 vor den retrospektiven Umgang mit Nichtkonformitäten und Korrekturmaßnahmen in Abschnitt 10.2 ohne weitere inhaltliche Änderungen vorangestellt. Diese Anpassung unterstreicht die Bedeutung des kontinuierlichen Verbesserungsprozesses (KVP).

Die wesentlichen und unmissverständlichen Anforderungen in ISO 27001, die auf den Maßnahmensatz des Anhang A referenzieren, sind gemäß Abschnitt 6.1.3 c) der Vergleichsprozess zwischen den organisationsspezifisch festgelegten Informationssicherheitsmaßnahmen mit denen des Anhang A sowie gemäß Abschnitt 6.1.3 d) die Erstellung einer Erklärung zur Anwendbarkeit (SoA). Diese Kernanforderungen bleiben unverändert bestehen!

Die Erläuterungen in den informativen (nicht normativen) Anmerkungen zu Abschnitt 6.1.3 c) mit dem Verweis auf Anhang A als Liste möglicher (possible) Informationssicherheitsmaßnahmen weisen auf die Möglichkeit hin, zusätzliche Maßnahmen aus weiteren Quellen ergänzend zum Anhang A auszuwählen.

 

Der neue Anhang A von ISO/IEC 27001:2022

Die Liste der möglichen Informationssicherheitsmaßnahmen (IS-Maßnahmen) im normativen Anhang A von ISO/IEC 27001:2022 ist identisch aus ISO/IEC 27002:2022 abgeleitet. Der Katalog allgemeiner Sicherheitsmaßnahmen wurde im Februar 2022 veröffentlicht. Daher waren die Änderungen des Anhang A von ISO/IEC 27001:2022 schon länger absehbar.

Abgesehen davon, dass mit der neuen ISO/IEC 27001:2022 die Maßnahmenziele entfallen, wurden die Sicherheitsmaßnahmen im Anhang A grundlegend überarbeitet, auf den neuesten Stand gebracht sowie um einige neue Maßnahmen ergänzt und neu geordnet.

Bislang umfasste der Anhang A insgesamt 114 Maßnahmen, die unter 35 Maßnahmenzielen gegliedert in 14 Abschnitten zur Behandlung von Informationssicherheitsrisiken herangezogen werden konnten. Die ehemals 14 Abschnitte konzentrieren sich jetzt auf die 4 folgenden Themenbereiche:

A.5       Organisatorische Maßnahmen (mit 37 Maßnahmen)

A.6       Personenbezogene Maßnahmen (mit 8 Maßnahmen)

A.7       Physische Maßnahmen (mit 14 Maßnahmen)

A.8       Technische Maßnahmen (mit 34 Maßnahmen)

Der Anhang A der neuen Version ISO/IEC 27001:2022 umfasst jetzt in Summe 93 Maßnahmen (Controls), von denen die folgenden 11 Maßnahmen neu eingeführt wurden:

A.5.7         Bedrohungsintelligenz

A.5.23       Informationssicherheit in der Cloud

A.5.30       IKT-Bereitschaft für Business Continuity

A.7.4         Physische Sicherheitsüberwachung

A.8.9         Konfigurationsmanagement

A.8.10       Löschung von Informationen

A.8.11       Datenmaskierung

A.8.12       Verhinderung von Datenlecks

A.8.16       Überwachung von Aktivitäten

A.8.23       Webfilterung

A.8.28       Secure Coding

Während sich der Anhang A von ISO/IEC 27001:2022 auf die Nennung der Maßnahmen beschränkt, werden in der Umsetzungsanleitung ISO/IEC 27002:2022 weitere Möglichkeiten zur Kategorisierung der IS‑Maßnahmen angeboten. Dort sind jeder Maßnahme 5 Attribute zugeordnet, die verschiedene Sichten und Perspektiven auf die Maßnahmen ermöglichen. Die Attribute beziehungsweise ihre Attributwerte können zum Filtern, Sortieren oder zur Darstellung für unterschiedliche Organisationssichten verwendet werden.

Die fünf Attribute sind:

Maßnahmenart ist ein Attribut für die Sicht auf die Maßnahmen unter dem Gesichtspunkt, wann und wie eine Maßnahme das Risiko in Bezug auf das Auftreten eines Informationssicherheitsvorfalls verändert.

Informationssicherheitseigenschaften sind ein Attribut, mit dem Maßnahmen unter dem Gesichtspunkt betrachtet werden können, welches Schutzziel durch die Maßnahme unterstützt werden soll.

Cybersicherheitskonzepte betrachtet Maßnahmen aus der Perspektive der Zuordnung von Maßnahmen zu dem in ISO/IEC TS 27110 beschriebenen Cybersicherheitsrahmenwerk.

Betriebsfähigkeit betrachtet Maßnahmen aus der Perspektive ihrer operativen Informationssicherheitsfähigkeiten und unterstützt eine praktische Anwendersicht auf die Maßnahmen.

Sicherheitsdomänen sind ein Attribut, mit dem Maßnahmen aus der Perspektive von vier Informationssicherheitsdomänen betrachtet werden können.

ISO 27001 Zer­ti­fi­kat

Ganz­heit­li­ches Ma­nage­ment­sys­tem nach ISO-Stan­dard ★ wirksame Um­set­zung eines Ri­si­ko­ma­nage­ment­pro­zes­ses ★ fort­lau­fen­de Ver­bes­se­rung des Si­cher­heits­ni­veaus

Weitere In­for­ma­tio­nen zur ISO 27001 Zer­ti­fi­zie­rung

Was bedeutet das Update für Ihre Zertifizierung?

ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht. Daraus ergeben sich für Anwender folgende Fristen und Zeiträume für den Übergang:

Letzter Termin für die Erst-/Rezertifizierungsaudits nach der „alten“ Version:

  • Nach dem 30. April 2024 wird die DQS Erst- und Rezertifizierungsaudits nur noch nach der neuen Norm ISO/IEC 27001:2022 durchführen.

Umstellung aller bestehenden Zertifikate nach der „alten“ ISO/IEC 27001:2013 auf die neue ISO/IEC 27001:2022:

  • Es gilt eine 3-jährige Übergangsfrist ab dem 31. Oktober 2022.
  • Ausgestellte Zertifikate nach den alten Versionen ISO/IEC 27001:2013 oder DIN EN ISO/IEC 27001:2017 sind längstens bis zum 31. Oktober 2025 gültig und müssen zu diesem Datum zurückgezogen werden.

Die neue ISO/IEC 27001:2022 – Fazit

Die neue ISO/IEC 27001:2022 liegt seit Oktober 2022 vor. Damit beginnt die 3-jährige Übergangsfrist. 

Die Revision setzt bei den Best Practices zur Beherrschung der Informationssicherheitsrisiken an. Die Liste möglicher Informationssicherheitsmaßnahmen im normativen Anhang A der revidierten Norm ist identisch aus dem überarbeiteten Leitfaden ISO/IEC 27002:2022 abgeleitet.

Die wesentlichen Neuerungen sind zusammengefasst die Folgenden:

  • Übereinstimmung des Managementsystems mit der Harmonized Structure
  • Betonung der Prozessorientierung, ihrer Wechselwirkungen und Kriterien
  • Vereinfachte und gestraffte Kategorisierung der Maßnahmen in Themenblöcken
  • Zeitgemäße Maßnahmen, die auf aktuelle Organisationsmethoden und damit verbundene Bedrohungen abgestimmt sind
  • Attribute für die Anpassung der Maßnahmen an verschiedene Methoden zum Risikomanagement, einschließlich globaler Cybersicherheits-Rahmenwerke

Bei der DQS in guten Händen

So selbstständig jedes Unternehmen und jede Organisation mit ihrem Managementsystem umgeht – so unterschiedlich sind auch die Ziele, die sie damit verfolgen. Und ihre Pläne und Wünsche, wie und wann der Übergang auf die neue Version von ISO/IEC 27001:2022 erfolgen soll, sicher auch.

Das aktuelle ISO 27001 Update ersetzt die bisherige Norm ISO/IEC 27001:2013 beziehungsweise die deutsche Ausgabe DIN EN ISO/IEC 27001:2017. Da ein Übergangszeitraum von 3 Jahren besteht, verlieren Zertifikate auf Basis der alten Normen am 31. Oktober 2025 ihre Gültigkeit.

Nutzen Sie das Wissen unserer Experten. Informieren Sie sich über die wichtigsten Änderungen der neuen Norm und die Bedeutung für Ihre Organisation. Wir stehen seit mehr als 35 Jahren für unparteiliche Audits und Zertifizierungen. Unsere Auditoren richten dabei den Blick auf Verbesserungs­potenzial und regen zum Perspektivenwechsel an. Nehmen Sie uns beim Wort. Wir freuen uns auf den Kontakt mit Ihnen.

gerber-hermsdorf-werner-korall-audit dqs
Loading...

Sie haben Fragen zur neuen ISO 27001?

Kon­tak­tie­ren Sie uns! Ganz un­ver­bind­lich und kos­ten­frei.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail an willkommen@dqs.de.

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.

Autor
Markus Jegelka

DQS-Fach­ex­per­te für In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (ISMS), langjähriger Auditor für die Regelwerke ISO 9001, ISO/IEC 27001 und  IT-Sicherheitskataloge § 11 Abs. 1a/b EnWG mit Prüfverfahrenskompetenz für § 8a (3) BSIG

Loading...

Re­le­van­te Artikel und Ver­an­stal­tun­gen

Das könnte Sie auch in­ter­es­sie­ren.
Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434: Vehicle Cyber Security Audit

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

Er­fah­run­gen mit ISO 27001 – Pra­xis­bei­spiel EN­TER­BRAIN Software

Blog
Mixing console in a recording studio with sliders at different heights
Loading...

Kon­fi­gu­ra­ti­ons­ma­nage­ment in der In­for­ma­ti­ons­si­cher­heit