Serviert uns die neue ISO/IEC 27001:2022 neuen Wein in alten Schläuchen oder bringt sie grundlegende Änderungen? Der erfahrene ISO & Digicomp Trainer Umut Yilmaz erläutert die wichtigsten Änderungen und was die Revision für zertifizierte Unternehmen bedeutet.
Im Oktober 2022 wurde die neue ISO/IEC 27001:2022 in ihrer neuesten Version veröffentlicht. Ist die Revision der international bekanntesten und beliebtesten Norm für ein Informationssicherheits-Managementsystem (ISMS) gelungen?
Die Revision enthält beides: sowohl grössere als auch kleinere Anpassungen. Grundsätzlich kann festgehalten werden, dass die ISO 27001 genau den richtigen Weg einschlägt. Sie tut dies vor allem dadurch, dass sie die Kernanforderungen an ein ISMS materiell nahezu unverändert lässt, aber den Anhang A im Hinblick auf die aktuelle Bedrohungslage und Themen wie Cloud Computing, Business Continuity Management und Datenschutz sinnvoll überarbeitet.
Durch die neuen vier Kontrollkategorien und die Bereinigung der Sicherheitskontrollen wirkt der Anhang A zudem deutlich übersichtlicher und frischer. Die sprachlichen Änderungen entsprechen dem Zeitgeist und sind an einigen Stellen nun deutlich greifbarer in der Umsetzung.
Die erste redaktionelle Anpassung findet sich bereits im Titel des Frameworks, der an den neuen Titel der ISO/IEC 27002:2022 angepasst wurde. Der neue Titel des Frameworks lautet: «Information Security, cybersecurity and privacy protection – Information security management systems – Requirements».
Mit den beiden Begriffseinführungen cybersecurity und privacy protection wird der aktuellen Bedrohungslage aus dem Cyberraum und den datenschutzrechtlichen Bestimmungen zum Schutz der Persönlichkeitsrechte Rechnung getragen.
Darüber hinaus gibt es kleinere sprachliche Anpassungen ohne Auswirkungen auf die spezifizierten Anforderungen an ISMS. Dazu gehören unter anderem:
Die Struktur und die Hauptkapitel der Norm haben sich nicht wesentlich geändert. Auch die zentralen Anforderungen an ein effektives ISMS sind gleich geblieben. Darüber hinaus wurde die ISO 27001 an die Harmonized Structure (HS) angepasst, um eine einheitliche Struktur für die Planung und Umsetzung weiterer ISO-Managementsysteme zu ermöglichen.
Die wesentlichen Änderungen betreffen die folgenden Kapitel:
4.2 Understanding the needs and expectations of interested parties
Festlegung, welche Anforderungen durch das ISMS erfüllt werden sollen
6.2 Information security objectives and planning to achieve:
Überwachung und Dokumentation der Sicherheitsziele
6.3 Planning of changes
ISMS-Änderungen sind geplant umzusetzen
8.1 Operational planning and control
Definition von Prozesskriterien für die Prozesssteuerung
Die grössten Anpassungen wurden im Anhang A (engl. Annex A) vorgenommen und damit mit der letzten Version der ISO/IEC 27002 harmonisiert.
Neu enthält der Anhang A 93 Kontrollen statt 114 Kontrollen. 11 neue Kontrollen sind hinzugekommen, 23 wurden umbenannt, 57 Kontrollen wurden zu 24 Kontrollen zusammengefasst und 35 Kontrollen blieben unverändert. Ebenfalls wurden die Kategorien der Kontrollen neu strukturiert.
Die 93 Kontrollen werden in die folgenden 4 Kategorien eingeteilt:
Zu den 11 neuen Kontrollen zählen folgende:
Ich freue mich darauf, Sie in dieser Umstellungsphase begleiten zu dürfen. Sie können sich in meinem ISO/IEC 27001:2022 Transition-Kurs bei Digicomp kompakt auf die Rezertifizierung vorbereiten.
Kommentar