ISO/IEC 27001:2022 – was ändert sich zur Version ISO/IEC 27001:2013?

Die Zahl der Cyberangriffe und Bedrohungen nimmt stetig zu. Daher benötigen Unternehmen effiziente Prozesse und/oder ein Informationssicherheitsmanagementsystem (ISMS), um sich damit besser zu schützen. Ein ISMS schafft mit dokumentierten Richtlinien, Prozessen und Massnahmen den Rahmen für eine höhere Informationssicherheit. Basis hierfür ist die Norm ISO/IEC 27001. Ende Oktober wurde die neue Version ISO/IEC 27001:2022 mit einem stärker prozessorientierten Ansatz veröffentlicht. Wir beschreiben die Neuerungen und Auswirkungen auf Unternehmen.

(Sensible) Informationen und Geschäftsprozesse sind heutzutage ein kritischer Bestandteil von funktionierenden Unternehmensstrukturen. Werden Informationen (un- )absichtlich offengelegt, stehen Informationen damit eventuell nicht zur Verfügung oder werden verfälscht. Wobei dies im schlimmsten Fall dazu führen kann, dass Unternehmen ihrer Geschäftstätigkeit gar nicht oder nur noch sehr eingeschränkt nachgehen können. Daher sollten sich Firmen, gerade in Zeiten zunehmender Cyberattacken und den damit einhergehenden Risiken für die Informationssicherheit mit einem strukturierten Ansatz gegen Hackerangriffe und Bedrohungen schützen. Die am 25.10.2022 veröffentlichte neue Version der ISO/IEC 27001:2022 löst die ISO/IEC 27001/2013 ab und greift die prozessorientierte Betrachtungsweise auf. Was bedeutet das konkret? Im folgenden Artikel beschreiben wir die Neuerungen und die damit verbundenen Auswirkungen auf Unternehmen.

Informations-Sicherheits-Managementsystem (ISMS)

Vorab: Ein Informationssicherheitsmanagementsystem (ISMS) gemäss ISO/IEC 27001 gibt Richtlinien vor, regelt Verantwortlichkeiten (Pflichten- und Aufgabenverteilung) und den Umgang mit Risiken. Die ISO/IEC 27001 besteht aus einem normativen Teil (Kapitel 4 – 10) und dem sogenannten normativen Anhang A. Der normative Teil beschreibt das eigentliche Managementsystem mit dem Fokus auf Informationssicherheitsrisikomanagement und den Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Das heisst im Detail: Ein Unternehmen muss sich zunächst strukturiert mit den relevanten Bedrohungen und Risiken befassen, bevor es Massnahmen definiert, um sich dann davor zu schützen. Mögliche Massnahmen werden im Anhang A beschrieben. Wichtig: Nicht jede Massnahme aus dem Anhang ist zwingend umzusetzen. Der Anhang dient viel mehr als Kontrollinstrument bzw. als Empfehlung, um Massnahmen zu identifizieren, die gegen die ermittelten Risiken schützen können.

Normative Änderungen der Norm ISO/IEC 27001:2022

Wie oben bereits kurz erläutert, rückt die Prozessorientierung noch deutlich stärker in den Vordergrund: 

  • Kapitel 4.2: Der neu ergänzte Gliederungspunkt c) legt fest, dass identifizierte Anforderungen interessierter Parteien im Kontext des gesamten ISMS zu betrachten sind. Folglich betrifft die Ausarbeitung von Anforderungen also das gesamte ISMS und soll sinnvoll integriert werden. Penetrationstest Projekt QMS VDA ISA Vorbereitung 
  • Kapitel 4.4: Prozesse und deren Auswirkungen sind jetzt im Rahmen des gesamten ISMS zu berücksichtigen. 
  • Kapitel 5.3: Neu ist die Anforderung, Befugnisse und Rollen mit Bezug zur Informationssicherheit innerhalb der Organisation/des Unternehmens zu kommunizieren. Diese sinnvolle Ergänzung integriert das Thema Informationssicherheit im gesamten Unternehmen. 
  • Kapitel 6.1.3 c): Es wurde explizit ergänzt, dass der Annex A eine mögliche Massnahmenliste für die bereits identifizierten Informationssicherheitsrisiken darstellt. Das Unternehmen kann, muss aber nicht alle Massnahmen aus dem Annex A anwenden (risikoorientierter Ansatz). Ebenfalls ist es möglich, eigene Massnahmen zu ergänzen, die nicht explizit im Anhang aufgeführt sind – sofern diese sinnvoll sind, um Risiken zu verringern. 
  • Kapitel 6.3: Der neu hinzugefügte Abschnitt beschreibt, dass Änderungen am ISMS geplant umgesetzt werden müssen. 
  • Kapitel 7.4: Firmen müssen jetzt festlegen, wie sie Änderungen am ISMS kommunizieren. 
  • Kapitel 8.1: Unternehmen müssen Prozesse definieren, mit deren Hilfe sie Massnahmen im Rahmen des ISMS umsetzen. Die neue Version ISO 27001:2022 fordert, dass Firmen für die erwähnten Prozesse Kriterien festlegen und die Prozesse entsprechend den Kriterien umsetzen. 
  • Kapitel 9: Inhaltlich hat sich nichts geändert, Kapitel 9.2 ist aufgeteilt in Kapitel 9.2.1 und 9.2.2. Kapitel 9.3 wurde in die Kapitel 9.3.1, 9.3.2 und 9.3.3 gegliedert. 
  • Kapitel 10: Keine inhaltlichen Änderungen. Das Kapitel 10.2 aus der ISO/IEC 27001:2013 entspricht jetzt dem Kapitel 10.1 in der ISO/IEC 27001:2022 und umgekehrt.

Neue Struktur bei den Massnahmen im Anhang A

Tatsächlich ist die auffälligste Veränderung die völlig neue Struktur der Massnahmen (Controls) im Anhang A, die sich grundlegend von der bisher gültigen Version unterscheidet. Demzufolge sind die Controls sind an die neue Version der internationalen Norm ISO/IEC 27002:2022 angelehnt, die allgemeine Massnahmen für eine höhere Informationssicherheit definiert. Fortan gibt es in der ISO 27001:2022 anstatt der bisher 114 Massnahmen in 14 Bereichen nur noch 93 Massnahmen. Diese sind in folgende vier Themen-Kategorien aufgeteilt (Zahl der Massnahmen in Klammern): 

  • Organisatorische Massnahmen (37) 
  • Personenbezogene Massnahmen (8) 
  • Physische Massnahmen (14) 
  • Technische Massnahmen (34) 

Allerdings fiel von den bisherigen Massnahmen lediglich eine einzige weg (A.11.2.5 Entfernen von Werten/Assets), wohingegen andere Massnahmen zur besseren Übersicht inhaltlich zusammengefasst wurden. Neu hinzu kamen insgesamt 11 Massnahmen. Darunter beispielsweise Controls wie Threat Intelligence, Informationssicherheit in Cloud-Diensten, Überwachung des physischen Zutritts oder Konfigurations- Management.

Nächste Schritte und Aktualisierung der geplanten bzw. bereits existierenden Nächste Schritte und Aktualisierung der geplanten bzw. bereits existierenden ISO/IEC 27001:2022 Zertifizierung

Für Unternehmen, die bereits ein gültiges ISO/IEC 27001- Zertifikat besitzen, bedeutet das: 

  • Klärung mit der akkreditierten Zertifizierungsgesellschaft, ab wann diese nach der ISO/IEC 27001:2022 prüfen darf.
  • Möglichkeit zur Erst-/Rezertifizierung nach der Norm ISO/IEC 27001:2013 
    • 18 Monate nach Veröffentlichung der Version 2022 – sprich bis zum April 2024 
  • Aktualisierung der Zertifikate auf die ISO/IEC 27001:2022 
    • Üblicherweise 3 Jahre – Oktober 2025 
  • Für Unternehmen, die bereits mit der Umsetzung der ISO/IEC 27001:2013 begonnen haben, erfordert die neue Version vorerst keine Änderungen. Nichtsdestotrotz sollten sich Firmen schnellstmöglich mit der neuen Version befassen, um etwaige Doppelaufwände zu vermeiden. 
  • Für Unternehmen, die eine ISMS-Einführung planen, empfiehlt sich bereits die neue Version der ISO/IEC 27001:2022 heranzuziehen.

Fazit

Wie anfangs erwähnt, fokussieren sich die Änderungen in der Norm ISO/IEC 27001:2022 auf eine prozessorientiertere Herangehensweise bei der Umsetzung der Normanforderungen. Somit entstehen im Zusammenspiel mit der ebenfalls im Jahr 2022 neu veröffentlichten Version der ISO/IEC 27002:2022 geeignete Rahmenbedingungen, um zeitgemässe Massnahmen umzusetzen, die der aktuellen Bedrohungslage entsprechen.

< Zurück zur Übersicht
Home | Insights | Blog | ISO/IEC 27001:2022 – was ändert sich zur Version ISO/IEC 27001:2013?