Was ist neu in der ISO/IEC 27001:2022?

Serviert uns die neue ISO/IEC 27001:2022 neuen Wein in alten Schläuchen oder bringt sie grundlegende Änderungen? Der erfahrene ISO & Digicomp Trainer Umut Yilmaz erläutert die wichtigsten Änderungen und was die Revision für zertifizierte Unternehmen bedeutet.
Autor Umut Yilmaz
Datum 28.08.2023
Lesezeit 5 Minuten

Im Oktober 2022 wurde die neue ISO/IEC 27001:2022 in ihrer neuesten Version veröffentlicht. Ist die Revision der international bekanntesten und beliebtesten Norm für ein Informationssicherheits-Managementsystem (ISMS) gelungen?

Die Revision enthält beides: sowohl grössere als auch kleinere Anpassungen. Grundsätzlich kann festgehalten werden, dass die ISO 27001 genau den richtigen Weg einschlägt. Sie tut dies vor allem dadurch, dass sie die Kernanforderungen an ein ISMS materiell nahezu unverändert lässt, aber den Anhang A im Hinblick auf die aktuelle Bedrohungslage und Themen wie Cloud Computing, Business Continuity Management und Datenschutz sinnvoll überarbeitet.

Durch die neuen vier Kontrollkategorien und die Bereinigung der Sicherheitskontrollen wirkt der Anhang A zudem deutlich übersichtlicher und frischer. Die sprachlichen Änderungen entsprechen dem Zeitgeist und sind an einigen Stellen nun deutlich greifbarer in der Umsetzung.

Was bedeutet das für zertifizierte Unternehmen?

  • Für Unternehmen gibt es eine Übergangsfrist von 3 Jahren (bis Oktober 2025), um die Umstellung auf die neue ISO 27001:2022 abzuschliessen.
  • Die Umstellung kann im Rahmen eines Aufrechterhaltungs- oder Rezertifizierungsaudits erfolgen.
  • Alle Erst- und Rezertifizerungsaudits ab Ende Oktober 2023 müssen nach der neuen Norm ISO 27001:2022 durchgeführt werden.

1 Titeländerung und sprachliche Anpassungen

Die erste redaktionelle Anpassung findet sich bereits im Titel des Frameworks, der an den neuen Titel der ISO/IEC 27002:2022 angepasst wurde. Der neue Titel des Frameworks lautet: «Information Security, cybersecurity and privacy protection – Information security management systems – Requirements».

Mit den beiden Begriffseinführungen cybersecurity und privacy protection wird der aktuellen Bedrohungslage aus dem Cyberraum und den datenschutzrechtlichen Bestimmungen zum Schutz der Persönlichkeitsrechte Rechnung getragen.

Darüber hinaus gibt es kleinere sprachliche Anpassungen ohne Auswirkungen auf die spezifizierten Anforderungen an ISMS. Dazu gehören unter anderem:

  • Statt «International Standard» wird nun der Begriff «Document verwendet».
  • Die «Comprehensive list of control objectives and controls information security controls» wurde umbenannt in «List of possible».
  • Anstelle des Verbs «may» wird nun «can» verwendet.

2 Struktur der ISO 27001:2022

Die Struktur und die Hauptkapitel der Norm haben sich nicht wesentlich geändert. Auch die zentralen Anforderungen an ein effektives ISMS sind gleich geblieben. Darüber hinaus wurde die ISO 27001 an die Harmonized Structure (HS) angepasst, um eine einheitliche Struktur für die Planung und Umsetzung weiterer ISO-Managementsysteme zu ermöglichen.

Die wesentlichen Änderungen betreffen die folgenden Kapitel:

4.2 Understanding the needs and expectations of interested parties
Festlegung, welche Anforderungen durch das ISMS erfüllt werden sollen

6.2 Information security objectives and planning to achieve:
Überwachung und Dokumentation der Sicherheitsziele

6.3 Planning of changes
ISMS-Änderungen sind geplant umzusetzen

8.1 Operational planning and control
Definition von Prozesskriterien für die Prozesssteuerung

3 Anhang A – Aktualisierung der Sicherheitskontrollen

Die grössten Anpassungen wurden im Anhang A (engl. Annex A) vorgenommen und damit mit der letzten Version der ISO/IEC 27002 harmonisiert.

Neu enthält der Anhang A 93 Kontrollen statt 114 Kontrollen. 11 neue Kontrollen sind hinzugekommen, 23 wurden umbenannt, 57 Kontrollen wurden zu 24 Kontrollen zusammengefasst und 35 Kontrollen blieben unverändert. Ebenfalls wurden die Kategorien der Kontrollen neu strukturiert.

Die 93 Kontrollen werden in die folgenden 4 Kategorien eingeteilt:

  • Organizational controls (37 Kontrollen)
  • People controls (8 Kontrollen)
  • Physical controls (14 Kontrollen)
  • Technological Controls (34 Kontrollen)

Zu den 11 neuen Kontrollen zählen folgende:

  • A 5.7 Threat intelligence
  • A 5.23 Information security for use of cloud services
  • A.5.30 ICT readiness for business continuity
  • A.7.4 Physical security monitoring
  • A.8.9 Configuration management
  • A.8.10 Information deletion
  • A.8.11 Data masking
  • A.8.12 Data leakage prevention
  • A.8.16 Monitoring activities
  • A.8.23 Web filtering
  • A.8.28 Secure coding

Ich freue mich darauf, Sie in dieser Umstellungsphase begleiten zu dürfen. Ab September können Sie sich in meinem ISO/IEC 27001:2022 Transition-Kurs bei Digicomp kompakt auf die Rezertifizierung vorbereiten.

Bereit für ISO/IEC 27001:2022

Machen Sie sich fit für die neue Norm und weisen Sie mit einem Zertifikat nach, dass Sie ein ISMS auf Basis der Anforderungen der ISO/IEC 27001:2022 erfolgreich aktualisieren können.

Machen Sie sich fit für die neue Norm und weisen Sie mit einem Zertifikat nach, dass Sie ein ISMS auf Basis der Anforderungen der ISO/IEC 27001:2022 erfolgreich aktualisieren können.

Über den Autor

Umut Yilmaz

Umut Yilmaz ist als Information Security Officer bei der Bank WIR tätig. Seit über 15 Jahren arbeitet er im Bereich IT & Informationssicherheit und hat diverse Datenschutzprojekte im Gesundheits- und Finanzsektor umgesetzt. Er ist dipl. Head of IT-Security & Riskmanagement und ISO 27001 Lead Auditor zertifiziert. Er ist weiter als Dozent und Prüfungsexperte in den Themen Informationssicherheit, IT-Security und Datenschutz an der Wirtschaftsinformatik Fachschule tätig. Seit November 2022 ist Umut Trainer für ISO 27001 und Datenschutz bei der Digicomp.