Das Sicherheits-, Datenschutz- und Compliance-Landschaft entwickelt sich ständig weiter – ebenso wie die Rahmenwerke, die dazu dienen, Organisationen und deren Kunden vor Bedrohungen zu schützen. ISO 27001 und seine Begleitnorm ISO 27002 wurden kürzlich für 2022 aktualisiert, mit strukturellen Änderungen an den Klauseln und neuen Kontrollen im Anhang A.

In unserem Secureframe Webinar | Experteneinblicke, das am Dienstag, den 29. November, stattfand, erläuterte Compliance-Experte Cavan Leung die wichtigsten Änderungen am Rahmenwerk und den Kontrollen. 

Falls Sie es verpasst haben, sehen Sie sich die Video-Wiederholung auf Abruf an. Im Folgenden fassen wir seine Erkenntnisse und Expertenratschläge zusammen, wie Ihre Organisation mit ISO 27001:2022 konform bleibt. 

Ein kurzer Überblick über ISO 27001 

Bevor wir auf die neuesten Aktualisierungen des Rahmenwerks eingehen, ist es wichtig zu verstehen, was ISO 27001 ist und welche Vorteile die Zertifizierung hat. 

ISO 27001 ist eine international anerkannte Norm, die Organisationen dabei hilft, ihre Informationssicherheit zu etablieren, aufrechtzuerhalten und kontinuierlich zu verbessern. Sie konzentriert sich auf eine Kombination aus Menschen, Prozessen, Technologien und Kontrollen, um das zu schaffen, was ISO einen Information Security Management System (ISMS) nennt. 

Die ISO 27001-Zertifizierung bringt mehrere Vorteile mit sich. Als international anerkannte Norm wird ISO 27001 von Organisationen auf der ganzen Welt respektiert. Die Zertifizierung nach der Norm schafft tiefes Vertrauen bei Interessenten, Kunden, Partnern und Investoren. Und da die Norm an verschiedene Arten von Organisationen anpassbar ist, kann sie Unternehmen bei ihrem Wachstum unterstützen. 

ISO 27001 umfasst zwei Kernbereiche:

• ISMS-Klauseln 4-10: Dieser Aspekt der Norm beschreibt Anforderungen zur Etablierung von Informationssicherheitsprozessen und -kontrollen zur kontinuierlichen Verbesserung der Informationssicherheit
• Anhang A Kontrollen: Informationssicherheitskontrollen, die Organisationen implementieren können, um Risiken zu minimieren.

Organisationen müssen eine Reihe von externen Zertifizierungsaudits durchlaufen, um zertifiziert zu werden. Der Prozess umfasst eine Reihe von Audits:

• Jahr 1: Erstzertifizierungsaudits. Nach erfolgreichen Stufe-1- und Stufe-2-Audits ist die Organisation ISO 27001 zertifiziert. Die Zertifizierung ist drei Jahre gültig.
• Jahre 2 und 3: Überwachungsaudits zur Überprüfung der Klauseln 4-10 und einer Stichprobe der Anhang A Kontrollen
• Jahr 4: Rezertifizierungsaudit bewertet die Klauseln 4-10 und alle Anhang A Kontrollen. Die Organisation wird für weitere drei Jahre rezertifiziert. 

Was ist also ISO 27002?

ISO 27002 ist eine ergänzende Norm, die Ratschläge zur Implementierung von Informationssicherheitskontrollen gibt, die im Anhang A von ISO 27001 aufgeführt sind. Mit anderen Worten, ISO 27002 bietet einfach Informationen über eine Kontrolle, wie sie funktioniert und wie sie implementiert werden könnte, aber sie gibt nicht an, ob sie für Ihr Unternehmen anwendbar ist.

Deshalb kann man eine ISO 27001-Zertifizierung erhalten, aber keine ISO 27002-Zertifizierung, da es sich nicht um eine Managementnorm handelt, die eine vollständige Liste von Compliance-Anforderungen bietet. ISO 27001 verlangt von den Unternehmen, eine Risikobewertung durchzuführen, um Risiken zu identifizieren, welche Kontrollen erforderlich sind, um das Risiko zu mindern, und wie es implementiert werden soll.

Zusammenfassung der Änderungen an ISO 27001:2022 und ISO 27002:2022

ISO 27001:2022 wurde offiziell im Oktober 2022 veröffentlicht und führte geringfügige Wortlaut- und Strukturänderungen der ISMS-Klauseln 4-10 ein. Die wesentlichen Änderungen an den Kontrollmaßnahmen des Anhangs A spiegeln sich in ISO 27002:2022 wider.

Die Aktualisierungen des ISO 27002-Dokuments wurden offiziell im Februar 2022 veröffentlicht. In früheren Versionen waren die Kontrollmaßnahmen des Anhangs A in vierzehn Kontrollbereiche unterteilt: Anhang A.5 bis Anhang A.18. In der Version 2022 haben sie diese 14 Bereiche in 4 Hauptkategorien konsolidiert:

• Organisatorisch
• Personen
• Physisch
• Technologisch

Diese Änderungen vereinfachen die Struktur von ISO 27002 und machen das Dokument für Organisationen intuitiver zu navigieren.

Die Gesamtzahl der Kontrollen wurde von 114 auf 93 reduziert. Innerhalb dieser 93 Kontrollen blieben 58 Kontrollen mit geringfügigen kontextuellen Änderungen gleich. Vierundzwanzig Kontrollen wurden konsolidiert und 11 neue Kontrollen wurden eingeführt.

Wie wirken sich diese Änderungen auf die ISO 27001-Zertifizierung aus?

Organisationen, die bereits ISO 27001 zertifiziert sind, haben ab dem Datum der Veröffentlichung von ISO 27001:2022 drei Jahre Zeit, um auf den neuen Standard umzusteigen. Mit anderen Worten, für diese Organisationen laufen die ISO 27001:2013-Zertifikate Ende Oktober 2025 ab oder werden zurückgezogen. Übergangsaudits können gleichzeitig mit Ihrem nächsten Audit durchgeführt werden, oder Sie können sie separat durchführen.

Organisationen, die zum ersten Mal eine Zertifizierung anstreben, können weiterhin nach ISO 27001:2013 zertifiziert werden. Für diese Zertifikate müssen sie bis Oktober 2025 nach ISO 27001:2022 rektifiziert werden oder verlieren ihren Zertifizierungsstatus. Übergangsaudits können gleichzeitig mit Ihrem nächsten Audit durchgeführt werden, oder Sie können sie separat durchführen.

Darüber hinaus müssen sich ISO-Auditfirmen ebenfalls akkreditieren lassen, um ISO 27001:2022-Audits durchzuführen. Daher sollte die Organisation im Rahmen des Auswahlprozesses des Auditors sicherstellen, dass die Auditfirma gegen die neue Version ISO 27001:2022 auditieren und folglich zertifizieren kann.

ISO 27001:2022 und ISO 27002:2022 FAQs

Während des Secureframe Expert Insights-Webinars zu den Änderungen an ISO 27001 und ISO 27002 teilte Cavan Leung, CISSP, CISA, CCSK, sein Fachwissen mit den Teilnehmern, die ihre Fragen live oder im Voraus eingereicht hatten. Hier ist eine Zusammenfassung der Fragen und Antworten.

Wird die Secureframe-Plattform die ISO 27001:2022-Standards widerspiegeln? 

Ja. Sobald die ISO 27001:2022-Lösung in der Plattform live ist, haben Sie die Möglichkeit, auf die Version von 2022 umzusteigen, sodass Sie Ihren Fortschritt in Bezug auf die Version von 2013 nicht verlieren. Beide Versionen werden auf der Plattform verfügbar sein. 

Wenn wir bereits mit der ISO 27001-Zertifizierung beschäftigt sind, sollten wir mit ISO 27001:2013 weitermachen oder auf ISO 27001:2022 umstellen? 

Wenn Sie sich bereits im Prozess der ISO 27001:2013-Zertifizierung befinden oder dringend eine Zertifizierung benötigen, sollten Sie dies weiterhin mit der Version von 2013 tun. Wenn Sie jedoch gerade erst damit beginnen, Ihre ISO 27001-Kontrollen und -Prozesse zu etablieren und umzusetzen, schlage ich vor, die ISO 27001:2022-Standards zu implementieren. 

Einschränkung: ISO-Prüfungsunternehmen müssen für die neue Version von 2022 akkreditiert werden. Daher sollte die Organisation bei der Auswahl der Prüfungsunternehmen sicherstellen, dass die ausgewählten Prüfer nach ISO 27001:2022 zertifizieren können.

Was passiert, wenn ich mich nicht bis Oktober 2025 für ISO 27001:2022 rezertifizieren lasse?

Wenn Sie bereits Zertifikatsinhaber sind, wird Ihre Zertifizierung höchstwahrscheinlich bis 2025 ablaufen, da sie drei Jahre gültig ist. Wenn Sie sich rezertifizieren, würden Sie sich nach dem ISO 27001:2022-Standard rezertifizieren. 

Wenn aus irgendeinem Grund Ihr ISO 27001:2013-Zertifikat im Jahr 2025 noch aktiv ist und Sie nicht zur Version von 2022 gewechselt haben, wird Ihre Zertifizierungsstelle Ihr Zertifikat zurückziehen und es ungültig machen. 

Wenn unser Zertifikat nach August 2023 abläuft, können wir noch nach der Version von 2013 revalidiert werden?

Technisch gesehen ja, Sie haben bis Oktober 2025 Zeit. Ich würde jedoch davon abraten. Auf diese Weise können Sie bereits jetzt mit der Implementierung der Änderungen von 2022 in Ihr ISMS beginnen und sich auf die Zertifizierung nach der Version von 2022 vorbereiten. 

Nehmen Sie an unserem nächsten Secureframe-Webinar teil | Experteneinblicke

Wir veranstalten regelmäßig Webinare von Secureframe, um die größten Sicherheits-, Datenschutz- und Compliance-Probleme zu behandeln, die wir hören und Fragen zu erhalten, die uns von Interessenten, Kunden und Sicherheitsexperten gestellt werden. Achten Sie auf bevorstehende Registrierungsdetails oder sehen Sie sich Aufzeichnungen vergangener Veranstaltungen an, falls Sie etwas verpasst haben.