Im Jahr 2022 wurden ISO 27001 und seine begleitende Richtlinie ISO 27002 aktualisiert. Ab April 2024 müssen Organisationen, die ISO 27001 erstmals anstreben, nach der Version 2022 zertifiziert sein. Bereits zertifizierte Organisationen müssen bis zum 31. Oktober 2025 auf diese neueste Version umstellen.

Um eine reibungslose Compliance-Reise oder Übergangszeit zu gewährleisten, müssen Sie die Änderungen der ISO 27001-Anforderungen und der Anhang-A-Kontrollen in ISO 27002 verstehen. Wir werden diese wichtigen Updates unten behandeln.

Was hat sich mit ISO 27001:2022 geändert?

Im Folgenden sind die wichtigsten Änderungen in der neuesten Version von ISO 27001 aufgeführt.

Redaktionelle Änderungen in den ISMS-Klauseln 4-10

Insgesamt beinhalten die Updates in den ISMS-Klauseln 4-10 geringfügige Wortlaut- und Strukturänderungen.

Zum Beispiel beseitigen Änderungen in Klausel 6: Planung Mehrdeutigkeiten und veraltete Begriffe (d. h. Kontrollziele). Klausel 4.4, eine bestehende Anforderung zur Einrichtung, Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung Ihres ISMS, umfasst jetzt den Ausdruck „einschließlich der dafür notwendigen Prozesse und ihrer Interaktionen“.

In Bezug auf strukturelle Änderungen wurde Klausel 9.2: Interne Audits in 9.2.1: Allgemeines und 9.2.2: Internes Auditprogramm aufgeteilt. Die Anforderungen bleiben jedoch gleich.

Ebenso wurde Klausel 9.3: Managementbewertung in drei Unterabschnitte unterteilt — 9.3.1: Allgemeines, 9.3.2: Eingaben zur Managementbewertung und 9.3.3: Ergebnisse der Managementbewertung.

Einführung der Klausel 6.3

Die Version 2022 führte auch eine neue Unterklausel ein. Klausel 6.3: Planung von Änderungen verlangt, dass jede Änderung des ISMS geplant durchgeführt wird. Das Ziel dieser Unterklausel ist es sicherzustellen, dass Organisationen den Zweck jeder Änderung ihres ISMS, potenzielle Konsequenzen, Auswirkungen auf das ISMS, Verfügbarkeit und Zuweisung von Ressourcen sowie die Neuverteilung von Verantwortlichkeiten und Befugnissen, unter anderen Faktoren, berücksichtigen.

Aktualisierte Anhang-A-Kontrollen

Die wichtigste Änderung in ISO 27001:2022, die Organisationen beachten müssen, ist die offizielle Aktualisierung der Anhang-A-Kontrollen. Dies wird im nachstehenden Abschnitt behandelt.

Was hat sich mit ISO 27002:2022 geändert?

Im Folgenden sind die wichtigsten Änderungen in der neuesten Version von ISO 27002 aufgeführt.

Reduzierte Anzahl von Kontrollmaßnahmen

Die wichtigste Änderung an ISO 27002 (und damit auch an ISO 27001) besteht darin, dass die Gesamtzahl der Anhänge-A-Kontrollen von 114 auf 93 reduziert wurde. Es wurde jedoch keine der bisherigen Kontrollen entfernt. 57 wurden einfach zu 24 Kontrollen zusammengeführt. 11 neue Kontrollen wurden hinzugefügt. Eine wurde geteilt. Die verbleibenden 58 Kontrollen sind größtenteils unverändert, mit geringfügigen kontextuellen Aktualisierungen.

11 neue Kontrollen

Einige Kontrollen sind in der 2022-Version brandneu, d.h. sie sind in ISO/IEC 27001:2013 nicht zu finden.

Die 11 neuen Kontrollen, die in Anhang A aufgenommen wurden, umfassen:

Reduzierte Anhänge-A-Kontrolldomänen

In der vorherigen Version wurden die Anhänge-A-Kontrollen in 14 Domänen unterteilt. In der Version 2022 wurden diese konsolidiert und in 4 Abschnitte reorganisiert, die als Themen bezeichnet werden. Diese sind:

• Abschnitt 5: Organisatorische Kontrollen (37 Kontrollen)
• Abschnitt 6: Personenkontrollen (8 Kontrollen)
• Abschnitt 7: Physische Kontrollen (14 Kontrollen)
• Abschnitt 8: Technologische Kontrollen (34 Kontrollen)

Eingeführte Attribute

ISO 27002 führte eine einfachere Taxonomie für ISO-27001-Kontrollen ein. Die vier oben genannten Kategorien sind jedoch so breite Beschreibungen, dass es eine Herausforderung sein kann, zu wissen, wie Sie die Kontrollen in jeder Kategorie verwenden und ob Sie jede einzelne implementieren müssen.

Um diese Herausforderung zu bewältigen, führte ISO 27002:2022 auch zugehörige Attribute ein. Diese bieten verschiedene Perspektiven auf Kontrollen, sodass Sie besser verstehen können, welche Sie implementieren müssen und wie Sie sie während Ihres Risikobewertungs- und Behandlungsprozesses verwenden.

ISO 27002:2022 definiert die folgenden fünf Attribute, die allgemein genug sein sollen, um von jeder Organisation verwendet zu werden. Diese Attribute sind auch anpassbar, sodass Sie Ihre eigenen verwenden können.

1. Kontrolletypen

Wann und wie wirkt sich die Kontrolle auf das Risikosergebnis während eines Informationssicherheitsvorfalls aus?

Mögliche Attributwerte sind:

• Präventiv: Kontrolle wirkt, bevor eine Bedrohung auftritt
• Detektiv: Kontrolle wirkt, wenn eine Bedrohung auftritt
• Korrektiv: Kontrolle wirkt, nachdem eine Bedrohung auftritt

2. Eigenschaften der Informationssicherheit

Welches Merkmal der Information wird die Kontrolle schützen?

Mögliche Attributwerte sind:

• Vertraulichkeit
• Integrität
• Verfügbarkeit

3. Cybersicherheitseigenschaften

Welches im ISO/IEC TS 27110 beschriebenen Rahmenwerk definierte Cybersicherheitskonzept ist mit der Kontrolle verbunden?

Mögliche Attributwerte sind:

• Identifizieren
• Schützen
• Erkennen
• Reagieren
• Wiederherstellen

4. Betriebskriterien

Mit welchen betrieblichen Fähigkeiten ist die Kontrolle verbunden? Oder welche Abteilung sollte dieser Kontrolle oder diesem Risiko zugewiesen werden?

Mögliche Attributwerte umfassen, sind jedoch nicht beschränkt auf:

• Anwendungssicherheit
• Asset-Management
• Governance
• Informationsschutz
• Sicherheit von Humanressourcen
• Identitäts- und Zugangsmanagement
• Informationssicherheitsereignismanagement
• Physische Sicherheit
• Sichere Konfiguration

5. Sicherheitsdomänen

Mit welchem Sicherheitsbereich, welcher Expertise, welchem Service und/oder welchem Produkt ist die Kontrolle verbunden?

Mögliche Attributwerte sind:

• Governance und Ökosystem
• Schutz
• Verteidigung
• Resilienz

Was bedeuten diese Änderungen für Organisationen, die bereits nach ISO 27001 zertifiziert sind?

Organisationen, die derzeit nach ISO 27001:2013 zertifiziert sind, haben drei Jahre Zeit, um auf ISO/IEC 27001:2022 umzustellen. Der Übergangszeitraum beginnt am 31. Oktober 2022 und endet am 31. Oktober 2025. Zertifizierungen nach ISO 27001:2013 laufen am Ende des Übergangszeitraums ab oder werden zurückgezogen.

Übergangsaudits können entweder gleichzeitig mit dem nächsten Audit (z. B. Rezertifizierungsaudit und Übergangsaudit) oder separat durchgeführt werden.

Was bedeuten diese Änderungen für Organisationen, die zum ersten Mal eine ISO 27001-Zertifizierung anstreben?

Organisationen, die zum ersten Mal eine ISO 27001-Zertifizierung anstreben (sowohl Stufe 1 als auch Stufe 2 Audits), können bis April 2024 weiterhin nach der Version 27001:2013 zertifiziert werden. Übergangsaudits können entweder gleichzeitig mit Ihrem nächsten Audit (z. B. Überwachungsaudit und Übergangsaudit) oder separat durchgeführt werden.

Wie Secureframe die ISO 27001-Compliance vereinfacht

Egal, ob Sie zum ersten Mal eine ISO 27001-Compliance anstreben oder einfach nur eine einfachere Möglichkeit zur Aufrechterhaltung der Zertifizierung benötigen, Secureframe kann Ihnen helfen. Wir arbeiten mit Ihnen zusammen, um ein ISMS zu entwerfen, das den ISO 27001-Standards und den Anforderungen Ihrer Organisation entspricht, helfen Ihnen, schnell auditbereit zu werden, und überwachen Ihre Technologiestack, um die kontinuierliche Einhaltung sicherzustellen.

Um mehr zu erfahren, vereinbaren Sie noch heute eine Demo von Secureframe.