Alles was du zur neuen ISO 27001:2022 wissen solltest
Neben kleineren Änderungen im Hauptteil der Norm, hat insbesondere der Anhang A mit seinen derzeitigen 114 Maßnahmen eine Grundüberholung erhalten.
Die augenscheinlichste Änderung betrifft die Struktur der Maßnahmen (Controls). Diese wurden in neuen Gruppen organisiert, den sogenannten „Clauses“. Dazu wurden die Inhalte selbst stark modernisiert.
Die Änderungen im Detail:
- Neue Grundstruktur – 14 Clauses zu 4 Clauses restrukturiert
- Kapitel 5, Clause „Organizational controls“ (Rollen und Verantwortlichkeiten, Berechtigungsmanagement, Umgang mit Informationen, etc.)
- Kapitel 6, Clause „People controls“ (Personalprozesse – Einstieg, Stellenwechsel, Ausstieg; Sensibilisierung und Schulung, etc.)
- Kapitel 7, Clause „Physical controls“ (Perimeter- und Objektschutz, Umgang mit Betriebsmitteln, etc.)
- Kapitel 8, Clause „Technological controls“ (Absicherung von Endgeräten, Zugriffssteuerung, IT-Betrieb, Logging und Monitoring, Netzwerksegmentierung, etc.)
- Neue Controls – 11 Controls wurden neu aufgenommen
-
A.5.7 Threat intelligence (Identifikation und Umgang mit Bedrohungen)
-
A.5.23 Information security for use of cloud services (Sicherheit von Cloud-Services)
-
A.5.30 ICT readiness for business continuity
-
A.7.4 Physical security monitoring (Überwachung der Sicherheit physischer Perimeter und Infrastrukturen)
-
A.8.9 Configuration management
-
A.8.10 Information deletion
-
A.8.11 Data masking
-
A.8.12 Data leakage prevention (Vermeidung von Datenabfluss)
-
A.8.16 Monitoring activities (Überwachung und Anomalieerkennung in Netzwerken)
-
A.8.23 Web filtering
-
A.8.28 Secure coding (Anforderungen an die sichere Software-Entwicklung)
-
- Zusammenfassung von Controls – 56 Controls wurden zu 24 zusammengefasst, z. B. 12.4.1 Event logging, 12.4.2 Protection of log information, 12.4.3 Administrator and operator logs zu 8.15 Logging
- Neue Attribute zu jedem Control; der neue Standard gibt u.a. Hilfestellung zur Einordnung der Controls zu berührten Schutzzielen (Vertraulichkeit, Integrität, Verfügbarkeit) und ordnet die Controls in Bezug auf deren Wirkungsform ein (vorbeugend, erkennend, korrigierend)
Die ISO 27001:2022 ist im Oktober 2022 veröffentlicht worden.
Unklar ist noch, wann die deutsche Übersetzung veröffentlicht wird. Derzeit gehen wir von einer Veröffentlichung Anfang Q2 2023 aus.
Für bereits zertifizierte Unternehmen, gibt es eine Übergangsfrist von 36 Monaten. In den meisten Fällen ist es sinnvoll, spätestens zum nächsten Rezertifizierungsaudit auf die neue Version zu wechseln.
Für Erstzertifizierungen kann sich bis Oktober 2023 zwischen den beiden Versionen entschieden werden.
Details dazu findest du in dem Dokument des International Accreditation Forum: TRANSITION REQUIREMENTS FOR ISO/IEC 27001:2022 (PDF)
Über ein Updatepaket kann das ISMS SmartKit für die Anforderungen der neuen ISO 27001:2022 fit gemacht werden.
Das Update-Paket beinhaltet:
- Migrationsleitfaden
- Neuer Anforderungskatalog (Anhang A) der ISO 27001:2022 für das Self-Assessment (Englisch)
- Aktualisierung der Anwendbarkeitserklärung
- Erweiterung des ISMS SmartKit um die folgenden Funktionalitäten: Threat Intelligence Reporting, Lieferantenmanagement, Notfallmanagement
- Neue Textbausteine zur Erweiterung bestehender Richtliniendokumente zu allen neuen Anforderungen. Z.B. Webfiltering, Configuration Management, Datenmaskierung, Security Monitoring
- Neue Richtlinie „Richtlinie zur sicheren Cloud Nutzung“
- Mappingtabelle ISO 27001:2013 / ISO 27001:2022
Die Expert*innen der Byght GmbH unterstützen bei der Einrichtung.
Wo erhalte ich weitere Unterstützung?
Für ein tieferes Verständnis der neuen Anforderungen aus der ISO 27001:2022 bietet Byght ein individuelles Online-Seminar an:
ISO 27001:2022 – die neuen Anforderungen im Detail erklärt
Dauer: 2 Stunden
Nutzen: Das Seminar bietet eine Übersicht über die Änderungen, die in der neuesten Version der ISO 27001 vorgenommen wurden. Es werden praktische Tipps und Best Practices zur Umsetzung der neuen Anforderungen vermittelt und die Teilnehmer lernen, wie sie die neuen Anforderungen in ihrem Unternehmen umsetzen können.
Kosten: 300€
Alle Teilnehmenden erhalten ein Teilnahmezertifikat
Darüber hinaus lohnt sich ein Blick in die ebenfalls aktualisierte ISO 27002, in der Best Practices für die Umsetzung der Anforderungen des Annex A gegeben werden.
Du hast noch Fragen?
Kontaktiere uns gerne.