ISO 27001:2022 Update

Alles was du zur neuen ISO 27001:2022 wissen solltest

Neben kleineren Änderungen im Hauptteil der Norm, hat insbesondere der Anhang A mit seinen derzeitigen 114 Maßnahmen eine Grundüberholung erhalten.

Die augenscheinlichste Änderung betrifft die Struktur der Maßnahmen (Controls). Diese wurden in neuen Gruppen organisiert, den sogenannten „Clauses“. Dazu wurden die Inhalte selbst stark modernisiert.

Die Änderungen im Detail:

  • Neue Grundstruktur – 14 Clauses zu 4 Clauses restrukturiert
    • Kapitel 5, Clause „Organizational controls“ (Rollen und Verantwortlichkeiten, Berechtigungsmanagement, Umgang mit Informationen, etc.)
    • Kapitel 6, Clause „People controls“ (Personalprozesse – Einstieg, Stellenwechsel, Ausstieg; Sensibilisierung und Schulung, etc.)
    • Kapitel 7, Clause „Physical controls“ (Perimeter- und Objektschutz, Umgang mit Betriebsmitteln, etc.)
    • Kapitel 8, Clause „Technological controls“ (Absicherung von Endgeräten, Zugriffssteuerung, IT-Betrieb, Logging und Monitoring, Netzwerksegmentierung, etc.)
  • Neue Controls – 11 Controls wurden neu aufgenommen, z. B.
    • Threat intelligence (Identifikation und Umgang mit Bedrohungen)
    • Information security for use of cloud services (Sicherheit von Cloud-Services)
    • Physical security monitoring (Überwachung der Sicherheit physischer Perimeter und Infrastrukturen)
    • Data leakage prevention (Vermeidung von Datenabfluss)
    • Monitoring activities (Überwachung und Anomalieerkennung in Netzwerken)
    • Secure coding (Anforderungen an die sichere Software-Entwicklung)
  • Zusammenfassung von Controls – 56 Controls wurden zu 24 zusammengefasst, z. B. 12.4.1 Event logging, 12.4.2 Protection of log information, 12.4.3 Administrator and operator logs zu 8.15 Logging
  • Neue Attribute zu jedem Control; der neue Standard gibt u.a. Hilfestellung zur Einordnung der Controls zu berührten Schutzzielen (Vertraulichkeit, Integrität, Verfügbarkeit) und ordnet die Controls in Bezug auf deren Wirkungsform ein (vorbeugend, erkennend, korrigierend)

Das genaue Veröffentlichungsdatum steht noch nicht fest, vermutlich aber noch im Oktober diesen Jahres. Der Entwurf befindet sich derzeit „Under Publication“. Der nächste Schritt ist dann die Veröffentlichung der neuen ISO 27001:2022. Wir halten euch über dieses FAQ immer auf dem aktuellen Stand.

Lifecycle 27001:2022

Unklar ist auch noch, wann die deutsche Übersetzung veröffentlicht wird. Das Veröffentlichungsdatum dürfte jedoch mindestens 2-3 Monate nach der englischsprachigen Version liegen.

Es wird eine Übergangsfrist von 36 Monaten geben. In den meisten Fällen ist es sinnvoll, spätestens zum nächsten Rezertifizierungsaudit auf die neue Version zu wechseln.

Details dazu findest du in dem Dokument des International Accreditation Forum: TRANSITION REQUIREMENTS FOR ISO/IEC 27001:2022 (PDF)

Über ein Update-Paket kann das ISMS SmartKit für die Anforderungen der neuen ISO 27001:2022 tauglich gemacht werden.

Das Update-Paket beinhaltet:

  • Migrationsleitfaden inkl. Mappingtabelle ISO 27001:2013 / ISO 27001:2022
  • Neuer Anforderungskatalog für das Self-Assessment (Anhang A) 
  • Aktualisierung der Anwendbarkeitserklärung
  • Neue Textbausteine (z.B. zu Cloud Security und Monitoring) zur Erweiterung bestehender Richtliniendokumente
  • Unterstützung bei der Einrichtung durch die Expert*innen der Byght GmbH
 
Für alle Kunden mit der Mietlizenz ist das Update inklusive. Kunden mit der Kaufversion können für 700€ (netto) von dem Update profitieren.
 
Wir halten diese Infoseite auf dem aktuellen Stand und informieren unsere Kunden zusätzlich per Mail zur kommenden Aktualisierung der ISO 27001.

Du hast noch Fragen?

Kontaktiere uns gerne.