Das müssen Sie über die aktuelle Version wissen
Das müssen Sie über die aktuelle Version wissen
Sie möchten die Widerstandskraft Ihres Unternehmens gegen aktuelle Informationssicherheitsrisiken mit der neuen ISO 27001:2022 steigern? Wir erklären Ihnen, welche Neuerungen Sie erwarten und wie Sie Ihr Informationssicherheitsmanagementsystem (ISMS) an den aktuellen Standard anpassen können.
1. Definition
2. Bedeutung
3. Neuerungen
4. Auswirkungen
5. Übergangsfristen
✓ Die neue ISO 27001:2022 löst nach dem Release im Oktober 2022 die bisher geltende ISO 27001:2013 ab.
✓ Die Sicherheitsnorm erhält durch die Überarbeitung Anpassungen bei Maßnahmen zur IT-Sicherheit, zum Datenschutz sowie konkrete Maßnahmen zur Cloudsicherheit.
✓ Die wichtigsten Änderungen an der ISO/IEC 27001:2022 im Vergleich zur Vorgängerversion betreffen die im Anhang A definierten Maßnahmen („Controls”): Diese wurden von bisher 114 auf 93 reduziert und in vier Abschnitten neu gegliedert.
✓ Es wurden 11 neue Maßnahmen eingeführt. Diese beinhalten unter anderem die Datenmaskierung (um Daten für Hacker unbrauchbar zu machen), die Überwachung von Aktivitäten (um unübliche IT-Aktivitäten zu entdecken) sowie Informationssicherheit für die Nutzung von Cloud-Diensten.
✓ Die Übergangsfrist beträgt 36 Monate ab Veröffentlichung der Norm. Unternehmen müssen deshalb bestehende Zertifikate bis zum Herbst 2025 auf die neue ISO/IEC 27001:2022 umstellen.
Die ISO/IEC 27001:2022 ist die aktuelle Version der international anerkannten Norm für Informationssicherheit und stellt damit den führenden Standard für die Einführung eines ganzheitlichen ISMS dar. Die Norm bezieht nicht nur Ihre IT-Prozesse, sondern auch infrastrukturelle Aspekte wie Organisation, Personal, Gebäude und deren Umfeld mit ein. Sie ist international anerkannt und bietet ein hohes Maß an Sicherheit. Die ISO 27001:2022 definiert umfassende Anforderungen an den Aufbau, die Einführung, die Umsetzung, die betriebliche Überwachung und die Dokumentation Ihres ISMS. Ein entscheidender Teil der Norm ist das Risikomanagement, bei dem Risiken für Ihr Unternehmen identifiziert, analysiert und behoben werden.
Im Oktober 2022 veröffentlichte die International Organization for Standardization (ISO) die neueste Revision. Mit dieser werden neue Maßnahmen zur Verbesserung der Cybersicherheit und des Datenschutzes eingeführt, um den Standard auf den neuesten Stand der Technik zu bringen. Die ISO/IEC 27001:2022 ersetzt die vorherige Version ISO/IEC 27001:2013 und ergänzt die Schwesternorm ISO 27002:2022, die einen Leitfaden mit Informationssicherheitsmaßnahmen bietet.
Die neue Version ISO 27001:2022 ist für Unternehmen wichtig, um den immer komplexer werdenden Cyberbedrohungen entgegenzuwirken. Ihr Informationssicherheitsmanagementsystem (ISMS) kann mit dieser Norm zeitgemäß und flexibel gestaltet werden. In einer Welt, in der Daten und geistiges Eigentum täglich neuen Risiken ausgesetzt sind, ist dies von großer Bedeutung. Dadurch passen Sie Ihre Sicherheitsstrategien an die sich verändernden Bedrohungen an und stärken Ihre Widerstandsfähigkeit gegen aktuelle Informationssicherheitsrisiken.
Ihr Unternehmen wird vor Cyberangriffen und Datenmissbrauch geschützt, wenn es nach der aktuellen Version der ISO-27001-Zertifizierung zertifiziert ist:
➤ Aktuelle Sicherheitsmaßnahmen
➤ Einfachere Struktur
➤ Erhöhte Flexibilität
➤ Mehr Fokus auf Datenschutz
➤ Bessere Übersicht und Kontrolle
➤ Förderung der Threat Intelligence
➤ Höhere Resilienz gegen Cyber-Angriffe
➤ Globale Anerkennung und Compliance
Von einem neuen Titel über die neue Struktur bis hin zu den Änderungen in Anhang A – wir erklären Ihnen, was in der aktuellen Version der ISO 27001 anders ist als in der Vorgängernorm.
Die neueste Ausgabe der ISO/IEC 27001:2022 trägt den Titel „Information Security, Cybersecurity and Privacy Protection“. Sie markiert eine bedeutende Erweiterung im Bereich der Informationssicherheit. Die frühere Norm hieß „Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“. Die Namensänderung hin zu einem umfassenderen Fokus spiegelt die aktuellen Entwicklungen in Technik und Datenschutz wider.
Für Ihr Unternehmen bedeutet dies, dass Sie nun nicht nur die klassische Informationssicherheit, sondern auch die Cybersicherheit und den Datenschutz explizit berücksichtigen müssen. Diese Neuausrichtung ermöglicht eine ganzheitliche Betrachtung der verschiedenen Sicherheitsaspekte in der digitalen Welt und betont die enge Verbindung zwischen Informationssicherheit und Datenschutz. Die ISO 27001:2022 stellt sicher, dass Ihr ISMS den neuesten Sicherheitsanforderungen entspricht und auch den wachsenden Datenschutzbedürfnissen in Ihrem Unternehmen gerecht wird.
Die ISO 27001:2022 orientiert sich an der Harmonized Structure (HS), einer einheitlichen und effizienten Basis für verschiedene Managementsysteme. Die HS ist der Nachfolger der High Level Structure (HLS). Durch sie wird eine konsistente Struktur für Planung, Implementierung und Bewertung ermöglicht.
Für Ihr Unternehmen hat die ISO/IEC 27001:2022 zwei Vorteile: Sie bildet den neuesten Stand der Technik für Informationssicherheit ab und ermöglicht eine einfachere Integration in bestehende Managementsysteme. Zum Beispiel:
➤ Qualitätsmanagement (ISO-9001-Zertifizierung)
➤ Umweltmanagement (ISO-14001-Zertifizierung)
➤ Informationsmanagement (ISO-27001-Zertifizierung)
➤ Arbeitsschutzmanagement (ISO-45001-Zertifizierung)
➤ Energiemanagement (ISO-50001-Zertifizierung)
Die IMS-Zertifizierung für integrierte Managementsysteme sorgt für übersichtliche, konsistente und effiziente Managementprozesse. Dadurch wird der Umgang mit den komplexen Anforderungen der Informationssicherheit deutlich einfacher.
Grafik: Die 10 Kapitel der ISO 27001:2022 und ihre Zuordnung zum PDCA-Zyklus
In der ISO 27001:2022 gibt es einige redaktionelle Anpassungen. Die wichtigsten Änderungen finden sich in den Abschnitten 4, 6 und 8. In den anderen Kapiteln hat die International Organizsation for Standardization nur kleinere Änderungen vorgenommen.
➤ Verstärkte Prozessorientierung (Abschnitte 4.4 und 8.1): Die Norm verlangt, dass Sie nachvollziehbare Prozesse und deren Wechselwirkungen im Rahmen des ISMS bestimmen. Sie müssen Informationssicherheitsaspekte in alle relevanten Geschäftsprozesse integrieren. Dazu gehört auch die Entwicklung von Prozesskennzahlen zur Messung ihrer Wirksamkeit.
➤ Flexibilität bei der Risikobehandlung (Abschnitt 6.1.3): Die neue Version ermöglicht Ihnen eine flexiblere Auswahl und Gestaltung von Informationssicherheitsmaßnahmen. Sie können nun aus einem breiteren Spektrum an Maßnahmen wählen, die spezifisch auf die Bedürfnisse Ihrer Organisation zugeschnitten sind.
➤ Geplante Umsetzung von Änderungen (Abschnitt 6.3): Die ISO-Norm fordert, dass Sie Änderungen am ISMS geplant und strukturiert umsetzen. Das stellt sicher, dass Veränderungen im ISMS beherrscht und effektiv durchgeführt werden.
➤ Erweiterte Anforderungen an die Kommunikation (Abschnitt 7.4): Die aktuelle Version der ISO 27001 erweitert die Anforderungen an die interne und externe Kommunikation im Rahmen des ISMS. Sie müssen nun festlegen, wie, wann und mit wem über Informationssicherheitsthemen kommuniziert wird.
➤ Neustrukturierung und neue Unterabschnitte (Abschnitte 9.2 und 9.3): Die Abschnitte für Internes Audit und Managementbewertung wurden gemäß der Harmonized Structure neu strukturiert. Sie wurden in Unterabschnitte gegliedert, was zu einer klareren und systematischeren Herangehensweise führt.
➤ Betonung der kontinuierlichen Verbesserung (Abschnitt 10.1): Die Position des Abschnitts über kontinuierliche Verbesserung wurde geändert, um die Bedeutung des kontinuierlichen Verbesserungsprozesses im ISMS zu unterstreichen.
Diese Änderungen stellen sicher, dass Ihr ISMS nicht nur den aktuellen Sicherheitsanforderungen entspricht, sondern auch effektiv in die Geschäftsprozesse Ihres Unternehmens integriert ist. Dadurch wird die Gesamtsicherheit und Effizienz erhöht.
Im Anhang A der ISO 27001:2022 sind wichtige Änderungen aufgeführt, die für die Informationssicherheit Ihres Unternehmens von Bedeutung sind. Im Folgenden finden Sie eine übersichtliche Aufschlüsselung dieser Neuerungen.
Grafik: Die Änderungen der ISO 27001:2022 im Vergleich zu 2013
Anstelle von 114 Maßnahmen in der alten Version, umfasst der Anhang A der ISO 27001:2022 jetzt nur noch 93 Maßnahmen, die sogenannten Controls. Diese Maßnahmen sind in vier Hauptkategorien gegliedert:
1. Organisatorische Maßnahmen (37 Controls)
2. Personenbezogene Maßnahmen (8 Controls)
3. Physische Maßnahmen (14 Controls)
4. Technische Maßnahmen (34 Controls)
Obwohl es weniger Maßnahmen geworden sind, ist nur eine Maßnahme gestrichen worden. Die anderen wurden zusammengefasst. Gleichzeitig ist der Katalog um elf neue Maßnahmen erweitert worden, die sich auf moderne Herausforderungen konzentrieren:
1. Threat Intelligence: Diese Maßnahme konzentriert sich darauf, Informationen über potenzielle Bedrohungen zu sammeln und zu analysieren, um Sicherheitsmaßnahmen effektiv zu planen und umzusetzen.
2. Information Security for Use of Cloud Services: Die Maßnahme gewährleistet die Informationssicherheit bei der Nutzung von Cloud-Diensten. Dazu gehört die Überprüfung und Sicherstellung der Sicherheitsstandards von Cloud-Providern.
3. ICT Readiness For Business Continuity: Die Maßnahme zielt auf eine kontinuierliche Betriebsbereitschaft der IT-Infrastruktur. Dabei wird die Perspektive der Geschäftsfortführung berücksichtigt.
4. Physical Security Monitoring: Dieser Bereich enthält Maßnahmen zur Überwachung und Kontrolle physischer Zugänge. Dadurch soll verhindert werden, dass Unbefugte Zutritt zu Gebäuden und Hardware erhalten.
5. Configuration Management: Diese Sicherheitsmaßnahme konzentriert sich auf die Konfiguration und Systemhärtung. Dadurch wird die Integrität und Sicherheit der IT-Systeme gewährleistet.
6. Information Deletion: Die Sicherheitsmaßnahme umfasst Prozesse und Richtlinien zur sicheren und datenschutzkonformen Löschung von Daten.
7. Data Masking: Die Maßnahme betrifft Techniken zur Anonymisierung und Pseudonymisierung von Daten, um deren Schutz zu verbessern. Diese Techniken dienen dazu, personenbezogene Daten so zu verarbeiten, dass sie nicht mehr einer bestimmten Person zugeordnet werden können.
8. Data Leakage Prevention: Das Ziel dieser Maßnahme ist es, ungewollten Datenabfluss zu verhindern. Dazu werden Datenlecks frühzeitig erkannt und entsprechende Gegenmaßnahmen eingeleitet.
9. Monitoring Activities: Diese Maßnahme befasst sich mit der proaktiven Überwachung von Netzwerk- und Anwendungsaktivitäten. Ziel ist es, Anomalien zu identifizieren und darauf zu reagieren.
10. Web Filtering: Die Maßnahme beschränkt den Zugriff auf gefährliche oder unsichere externe Webseiten. Dadurch wird die Sicherheit im Unternehmensnetzwerk erhöht.
11. Secure Coding: Dieser Bereich enthält Richtlinien und Praktiken zur Entwicklung von sicherem Code, um Sicherheitslücken in der Software zu vermeiden. Die Richtlinien und Praktiken sollen dazu beitragen, dass die Software sicherer wird.
Immer mehr Unternehmen integrieren Cloud-Anwendungen in ihre täglichen Abläufe, Systeme und Geschäftsprozesse. Die entsprechenden Applikationen werden dadurch zu einem kritischen Element für die Business Continuity. Die neue Maßnahme berücksichtigt diese Entwicklung: Die ISO/IEC 27001:2022 konkretisiert das Thema Cloud-Sicherheit mit der Maßnahme "Information Decurity for Use of Cloud Services".
Übrigens: Sie möchten eine effiziente und sichere Cloud-Strategie entwickeln? In unserem Artikel "Cloud-Strategie und ISO 27001" teilt TÜV SÜD-Experte Alexander Häußler wertvolle Einblicke in die Welt der Cloud-Technologien und deren Schnittstellen mit der Informationssicherheit nach ISO 27001.
Die aktuelle Version ISO 27001:2022 räumt dem Thema Datenschutz einen noch höheren Stellenwert ein. Datenschutzvorschriften unterliegen weltweit einem steten Wandel und lokale Vorschriften können möglicherweise im Widerspruch zu den Anforderungen von Kunden und anderen Stakeholdern stehen. Zwei neue Maßnahmen sollen den Zugriff Unbefugter auf sensible Unternehmensdaten erschweren: Data Leakage Prevention verhindert Datenverluste, während Data Masking Daten maskiert.
Jede Maßnahme erhält in der aktuellen Version der ISO 27001 Attribute, um Controls mit dem branchenüblichen Standard vergleichen zu können.
1. Control Type (Preventive, Detective, Corrective)
2. Information Security Property (Confidentiality, Integrity, Availability)
3. Cybersecurity Concepts (Identify, Protect, Detect, Respond, Recover)
4. Operational Capablities (Governance, Asset Management, Information Protection, Human Resource Security, etc.)
5. Security Domains (Governance and Ecosystem, Protection, Defense, Resilience)
Die strukturierten Änderungen im Anhang A der ISO 27001:2022 erlauben es Unternehmen, Informationssicherheitsmaßnahmen effektiver zu bewerten und zu implementieren, um den modernen Sicherheitsanforderungen gerecht zu werden.
✓ Grundlagen der ISO 27001:2022
✓ Praxisbezogene Tipps zur Implementierung Ihres ISMS
✓ Vorteile der Zertifizierung für Unternehmen
Die Umstellung auf die ISO/IEC 27001:2022 bietet Ihrem Unternehmen viele Vorteile. Sie sind nicht nur auf dem neuesten Stand der Informationssicherheit, sondern können sich auch durch eine zeitgemäße Sicherheitsarchitektur von Wettbewerbern abheben.
Es ist wichtig, die nächsten Schritte zur Implementierung der neuen Norm jetzt einzuleiten.
Für Ihr Unternehmen, das bereits zertifiziert ist, bedeutet die neue Version der ISO/IEC 27001 keine grundlegenden Änderungen im Umgang mit Informationssicherheit, sondern vielmehr notwendige Anpassungen an moderne Sicherheitsverständnisse. Die Dokumentation für die neuen Controls sollte zeitnah angepasst und aktualisiert werden, insbesondere im Bereich des Business Continuity Managements, da hier die Anforderungen an die Dokumentation strenger geworden sind. Bei Ihrem nächsten Audit können Sie bereits nach der ISO/IEC 27001:2022 zertifiziert werden. Dies verleiht Ihrem Unternehmen einen Vorteil im Hinblick auf aktuelle Sicherheitsstandards und verbessert Ihre Reputation.
Wenn Sie eine Erstzertifizierung nach ISO 27001 anstreben, können Sie sich weiterhin nach der alten Version zertifizieren lassen. Es ist jedoch empfehlenswert, direkt die neue Version zu implementieren. Dies erspart Ihnen nach Ablauf der Übergangsfrist eine erneute Auditierung und stellt sicher, dass Ihr Unternehmen von Anfang an auf dem neuesten Stand der Informationssicherheit ist.
Die ISO/IEC 27001:2022 wurde am 25. Oktober 2022 mit einer Übergangsfrist von drei Jahren veröffentlicht. Das heißt:
➥ Sie müssen alle Zertifikate nach der alten Version bis spätestens 31. Oktober 2025 auf die neue Version umstellen.
➥ Ab dem 01. Mai 2024 müssen alle Erst- und Rezertifizierungsaudits nach der neuen ISO/IEC 27001:2022 durchgeführt werden.
Es ist wichtig, dass Sie die Übergangsaudits rechtzeitig einplanen, um eventuelle Abweichungen zu korrigieren und eine Unterbrechung der Zertifizierung zu vermeiden.
Die Zertifizierung nach ISO/IEC 27001:2022 durch TÜV SÜD bietet Ihnen mehr als nur einen Nachweis der Compliance. Sie ist ein Symbol für Vertrauen, Zuverlässigkeit und Sicherheit in einer zunehmend digitalisierten Welt. Heben Sie sich von der Konkurrenz ab und demonstrieren Sie Ihren Kunden und Partnern Ihr Engagement für höchste Informationssicherheit.
✓ Globales Expertennetzwerk – wir prüfen Niederlassungen weltweit
✓ Ganzheitlicher Service – wir bieten Kombi-Audits
✓ Renommiertes Prüfsiegel – wir stehen für Qualität und Integrität
Treffen Sie noch heute die Entscheidung für eine sichere Zukunft und kontaktieren Sie uns, um den ersten Schritt in Richtung Zertifizierung nach ISO/IEC 27001:2022 zu gehen.
