Einführung:
ISO 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS). Sie definiert die Anforderungen an den Aufbau, die Einführung, die Umsetzung, die Überwachung und die Verbesserung eines ISMS. Die Norm hilft Organisationen, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen zu schützen und Risiken zu minimieren.
Im Oktober 2022 wurde die neue Version der Norm ISO 27001:2022 veröffentlicht, die einige wichtige Änderungen gegenüber der Vorgängerversion ISO 27001:2013 enthält. In diesem Blogbeitrag möchten wir Ihnen einen Überblick über die wichtigsten Neuerungen geben und Ihnen Tipps geben, wie Sie sich auf die Umstellung vorbereiten können.
Die wichtigsten Änderungen in ISO 27001:2022 sind:
Strukturelle Anpassungen:
Der Titel der Norm wurde von „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“ zu „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen“ geändert. Dies spiegelt die Erweiterung des Anwendungsbereichs der Norm wider, die nun auch Aspekte der Cybersicherheit und des Datenschutzes berücksichtigt.
Die Struktur der Norm wurde an die Harmonized Structure (HS) angepasst, die eine einheitliche Gliederung für alle ISO-Managementsystemnormen vorsieht. Dies erleichtert die Integration von verschiedenen Managementsystemen, wie z.B. ISO 9001 (Qualitätsmanagement) oder ISO 14001 (Umweltmanagement).
Anpassungen im Bezug zu SIcherheitsmaßnahmen:
Die Anzahl der Sicherheitsmaßnahmen in Anhang A wurde von 114 auf 93 reduziert. Die Maßnahmen wurden in vier Abschnitte gegliedert: Governance and Management of Information Security (GM), Protection of Information and Systems (PS), Detection of Information Security Events (DE) und Response and Recovery from Information Security Incidents (RR). Diese Struktur orientiert sich an dem überarbeiteten Standard ISO/IEC 27002:2022, der Leitlinien für die Umsetzung der Maßnahmen enthält.
Einige neue Sicherheitsmaßnahmen wurden hinzugefügt, wie z.B. GM.6 (Information security roles and responsibilities), PS.9 (Cryptographic techniques), DE.4 (Security monitoring) oder RR.5 (Learning from information security incidents).
Einige bestehende Sicherheitsmaßnahmen wurden aktualisiert, erweitert oder zusammengefasst, wie z.B. A.6.1.5 (Information security in project management), A.8.1.1 (Inventory of assets), A.12.6.2 (Restrictions on software installation) oder A.18.1.4 (Privacy and protection of personally identifiable information).
Einige Sicherheitsmaßnahmen wurden gestrichen, wie z.B. A.6.2.1 (Mobile device policy), A.8.2.3 (Return of assets), A.10.1.2 (Change management) oder A.14.2.7 (Outsourced development).
Was bedeutet die Änderung der ISO 27001 für Sie?
Wenn Sie bereits ein ISMS nach ISO 27001:2013 haben oder planen, eines einzuführen, müssen Sie sich auf die neuen Anforderungen der ISO 27001:2022 vorbereiten.
Die Übergangsfrist für die Umstellung beträgt drei Jahre ab dem Datum der Veröffentlichung der neuen Norm, d.h., bis zum 25. Oktober 2025 müssen alle bestehenden Zertifikate nach ISO 27001:2013 auf ISO 27001:2022 umgestellt werden.