Am 25.10.2022 hat die International Organization for Standardization zusammen mit dem International Electrotechnical Commission die neue Version des wichtigsten europäischen Standards für Informationssicherheit veröffentlicht.
Nach den Versionen von 2005, 2008 und 2013 hat es lange gedauert, aber nun ist die 2022er Version offiziell veröffentlicht worden. Das Erscheinen der deutschen Übersetzung hat in der Vergangenheit übrigens etwa zwei Jahre gedauert.
Die erste Neuerung lauert schon im Titel
Aus “Information technology – Security techniques – Information security management systems – Requirements” wird “Information security, cybersecurity and privacy protection – Information security management systems – Requirements”.
Auffällig ist, dass privacy protection – also Datenschutz – Einzug erhält und dass cybersecurity an die Stelle von Information technology tritt – also konkret TK, ICS und IoT als technische Systeme einbezogen werden.
Strukturelle Änderungen in der ISO 27001:2022
Strukturelle Anpassungen in den Kapiteln setzen den Schritt von der High-Level-Structure (HLS) zur Harmonized Structure (HS) um und unterstreichen dabei die Prozessorientierung:
- In Abschnitt 4.4 wird die Implementierung von erforderlichen Prozesse und die Betrachtung ihrer Wechselwirkungen konkret eingeschlossen: „including the processes needed and their interactions“ .
- Auch Abschnitt 8.1 fordert klarer die Umsetzung von Prozessen.
- Abschnitte 5.3 und 7.4 verdeutlichen nun stärker Anforderungen zur Kommunikation.
- Und die Kapitel 9 und 10 wurden gemäß der Harmonized Structure (HS) restrukturiert.
Die Anpassungen im Annex A
Die wesentlichsten Änderungen betreffen den normativen Anhang Annex A und die darin enthaltenen Maßnahmen:
- Aus 112 Maßnahmen in 14 Gruppen wurden 93 Maßnahmen in 4 Gruppen (organisatorische, personenbezogene, physische und technische Maßnahmen)
- Dabei wurden keine der bisherigen Maßnahmen gestrichen, jedoch
- 23 Maßnahmen umbenannt,
- 24 Maßnahmen aus mehreren Maßnahmen zusammengefasst und
- 11 ganz neue Maßnahmen gestellt
Die Struktur entspricht dabei erwartungsgemäß der bereits im Februar veröffentlichten ISO 27002.
11 neue Maßnahmen in der ISO 27001:2022
Die Maßnahmen, die in der ISO 27001:2022 neu definiert sind, liefern dabei aber nicht zwingend auch neue Aspekte. Einige Punkte betreffen auch Themen, die bereits vorher in anderen Maßnahmen betrachtet wurden.
- A.5.7 Bedrohungsintelligenz
- A.5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
- A.5.30 IKT-Bereitschaft für Business Continuity
- A.7.4 Physische Sicherheitsüberwachung
- A.8.9 Konfigurationsmanagement
- A.8.10 Löschung von Informationen
- A.8.11 Datenmaskierung
- A.8.12 Verhinderung von Datenlecks
- A.8.16 Überwachung von Aktivitäten
- A.8.23 Webfilterung
- A.8.28 Sicheres Coding
Was bedeuten die Änderungen durch die ISO 27001:2022?
Sie müssen aktiv werden, wenn Sie Ihre ISO-Zertifizierung behalten wollen. Aber Sie brauchen nicht in Panik geraten und haben dafür noch etwas Zeit:
- Die Zertifizierungsstellen sind noch nicht für die neue ISO-Version akkreditiert, so dass Sie noch kein entsprechendes Zertifikat erwerben können. Wir rechnen hierzu mit einer Übergangszeit von mindestens 3-6 Monaten.
- Bis zum 31.10.2023 können Sie sich noch auf den 2013er Standard (re-)zertifizieren lassen.
- Bis spätestens zum 31.10.2025 müssen Sie Ihr Information Security Management System (ISMS) gemäß des neuen Standards transformiert haben.
