Änderungen der neuen ISO 27001:2022 & ISO 27002:2022

Mit ihren Änderungen reagieren die neue ISO 27001:2022 und ISO 27002:2022 den technologischen Wandel und stärken so die Widerstandsfähigkeit von Unternehmen. Nach 9 Jahren gab es 2022 endlich ein Update der ISO 27001 und ISO 27002 zum Management der Informationssicherheit. Im Nachgang zur Aktualisierung des Leitfadens ISO 27002:2022, hat sich nun auch die ISO 27001 in 2022 geändert. Vor allem der Maßnahmenkatalog (Anhang / Annex A), mit einer Liste möglicher Informationssicherheitsmaßnahmen, wurde aus der überarbeiteten Norm ISO/IEC 27002 abgeleitet. Die Änderung der Norm ist dringend notwendig, da in Zeiten industrialisierter Cyberattacken die Anpassung an immer neue Informationssicherheitsrisiken nämlich einen zeitgemäßen und flexiblen Ansatz erfordert. Die 93 vorgeschlagenen Neuerungen der Sicherheitsmaßnahmen bieten nun die Basis, um Unternehmen vor Cyberbedrohungen unserer informationsgetragenen täglichen Geschäftsabläufe, kritischer Daten sowie geistigen Eigentums zu schützen.

Neben der Aktualisierung der Sicherheitsmaßnahmen setzt die neue ISO 27001:2022 zudem auf Prozessorientierung beim Management der Informationssicherheit. Hierzu wurde die seit Mai 2021 gültige Harmonized Structure (HS – bisher High-Level-Structure [HLS]) angewendet, bei der u.a. erforderliche Prozesse und ihre Wechselwirkungen im Rahmen des Informationssicherheitsmanagementsystems (ISMS) zu bestimmen sind.

Der Aufbau der ISO 27001:2022 nach der Harmonized Structure (HS)

Welche weiteren Änderungen es in den einzelnen Abschnitten und Kapiteln gibt, zeigen wir Ihnen im Folgenden.

Weitere passende Blogbeiträge:

Entdecken Sie auch unsere anderen Blogbeiträge rund um Informationssicherheit und Datenschutz und erhalten Sie Expertenwissen unter anderem zu diesen Themen:

Die Änderungen in den Abschnitten 4 bis 10 der neuen ISO/IEC 27001 (PDCA des ISMS)

Mit der Anwendung der Harmonized Structure in der ISO/IEC 27001:2022 Revision mussten folglich auch einige Abschnitte und deren Inhalte daran angepasst werden.

Abschnitt 4.4: Informationssicherheitsmanagementsystem (Information security management system)
In diesem Abschnitt fordert die Norm die Bestimmung erforderlicher Prozesse sowie ihrer Wechselwirkungen im Rahmen des ISMS.

Abschnitt 5.3: Rollen, Verantwortlichkeiten und Befugnisse in der Organisation (Organizational roles, responsibilities and authorities)
Die Norm fordert von Unternehmen die verbindliche Bekanntmachung der Verantwortlichkeiten und Befugnisse in den Organisationen für Rollen mit Bezug zur Informationssicherheit.

Abschnitt 6.1.3: Informationssicherheitsrisikobehandlung (Information security risk treatment)
Mit diesem Abschnitt ermöglicht die Norm eine flexiblere Auswahl, Gestaltung und Erweiterung der Referenzmaßnahmen aus Anhang A (Liste möglicher (possible) Informationssicherheitsmaßnahmen). Die neue Version unterstreicht zudem die Öffnung des Managementsystemrahmens für organisationsspezifische Maßnahmensätze.

Abschnitt 6.3: Planung von Änderungen (Planning of changes)
Die Beherrschung von ISMS-bezogener Veränderungsprozesse wird in diesem Abschnitt von der Norm gefordert.

Abschnitt 7.4: Kommunikation (Communication)
Die neue Version erweitert diesen Abschnitt um das „Wie“ der Kommunikation (bisher Worüber, Wann, mit Wem und Wer).

Abschnitt 8.1: Betriebliche Planung und Steuerung (Operational planning and control)
Es muss eine Realisierung von Prozessen im Rahmen ihrer betrieblichen Planung und Steuerung erfolgen, um die Maßnahmen zur Bewältigung der Informationssicherheitsrisiken (mit Prozesskriterien zur Prozess-Steuerung) umzusetzen.

Abschnitt 9.2 / 9.3: Internes Audit / Managementbewertung (Internal audit / Management review)
Die Abschnitte „Internes Audit“ sowie „Managementbewertung“ wurden in der neuen Norm an die Harmonized Structure angepasst und weiter untergliedert.

Abschnitt 10.1 / 10.2: Fortlaufende Verbesserung / Nichtkonformität und Korrekturmaßnahmen (Continual improvement / Nonconformity and corrective action)
Der Aspekt der prospektiven fortlaufenden Verbesserung ist jetzt vor den retrospektiven Umgang mit Nichtkonformitäten und Korrekturmaßnahmen ohne eine weitere inhaltliche Änderung gestellt.

Interessante Produkte für Sie

Kursformen

Zertifikat

Informationen

Kostenloser E-Kurs - Was ist ein ISMS nach ISO 27001?

Basiswissen ISO 27001 - Informationssicherheitsmanagement

Informationssicherheitsbeauftragter ISO 27001

Kostenloser Gesamtkatalog der VOREST AG zum Download

Die Übersicht zu den erfolgten Änderungen im Anhang A

Statt 114 Informationssicherheitsmaßnahmen, die in der alten Norm 27001:2013 noch in 14 Kategorien zusammengefasst wurden, sieht die Struktur im neuen Anhang / Annex A der aktualisierten ISO/IEC 27001 2022 für Informationssicherheit hingegen nur noch 93 Maßnahmen vor. Diese sind außerdem auch nur noch in 4 Hauptkategorien unterteilt. Die 4 Abschnitte der Sicherheitsmaßnahmen gliedern sich in die Themenbereiche organisatorische, personelle, physische sowie technische Maßnahmen.

Die 11 neuen Sicherheitsmaßnahmen im Überblick

Auch wenn einige Sicherheitsmaßnahmen gestrichen wurden, gibt es allerdings auch 11 neue Maßnahmen, die wir Ihnen hier aufzeigen.

1. Bedrohungsintelligenz (Threat Intelligence)
Sammlung und Analyse von Bedrohungsinformationen, um Schutzmaßnahmen zu bestimmen.

2. Nutzung von Cloud-Diensten (Cloud Services)
Sichere Prozesse für Onboarding, Nutzung, Verwaltung sowie Ausstieg bei Cloud Anbietern.

3. IKT-Bereitschaft für Business Continuity (Business Continuity)
Anforderungen an Wiederherstellungsmaßnahmen mit einem neuen Fokus auf technische Maßnahmen.

4. Physische Sicherheitsüberwachung (Physical Security Monitoring)
Überwachungsmaßnahmen, Einbruchsalarme etc. zur Abschreckung und zum Schutz vor unbefugtem Zugriff.

5. Datenmaskierung (Data Masking)
Beschränkung, Anonymisierung sowie Pseudonymisierung von Daten.

6. Verhinderung von Datenlecks (Data Leakage Prevention)
Überwachung und Erkennung von Datenverlust/ Offenlegung/ Datenleck.

7. Überwachung von Aktivitäten (Monitoring)
Proaktive Überwachung von abweichenden Aktivitäten.

8. Webfilterung (Web Filtering)
Filterung von gefährlichen Webseiten, die Malware verbreiten oder aber unbefugt Daten auslesen.

9. Sicheres Coding (Secure Coding)
Sichere Kodierung ohne Schwachstellen oder Anfälligkeit für Angriffe.

10. Konfigurationsmanagement (Configuration Management)
Korrekte Einstellung von Sicherheitsmaßnahmen und Sicherung der Konfiguration.

11. Löschung von Informationen (Information Deletion)
Anforderungen zur Datenspeicherung im Hinblick auf DSGVO sowie GDPR.

Video: Die neue ISO 27001 und die Auswirkung auf die Zertifizierung

Video: Welche Aufgaben hat ein ISMS Beauftragter nach ISO 27001?

Alle unsere YouTube Videos finden Sie hier auf dem YouTube Kanal der VOREST AG!

Was sind die 5 Attribute zur Kategorisierung von „Controls“ in der ISO 27001:2022?

Anders als ISO/IEC 27001:2022 Update begrenzt sich die aktualisierte ISO/IEC 27002 nicht nur auf die Nennung von Maßnahmen. Zusätzlich ordnet der Leitfaden jeder Maßnahme immer 5 Attribute zu. Das Unternehmen kann diese Attribute und ihre Attributwerte verwenden, um verschiedene Ansichten der Maßnahmen durchzuführen, bei denen es sich um unterschiedliche Kategorisierungen von „controls“ (Sicherheitsmaßnahmen) aus einer anderen Perspektive zu den einzelnen Themen handelt. Dadurch wird die Transparenz erhöht und Fehlinterpretationen bei der Anwendungen werden weniger. Die 5 Attribute sind:

Wirkungsweise der Maßnahmen Maßnahmenart (Control type)
Das Attribut soll „controls“ aus der Perspektive anzeigen, wann und wie die „controls“ das Risiko im Hinblick auf das Auftreten eines Informationssicherheitsvorfalls modifiziert.

Auswirkung auf Sicherheitsziele /IS Eigenschaften (Information security properties)
Dieses Attribut wurde eingeführt, um „controls“ aus der Perspektive zu betrachten, zu welcher Informationseigenschaft das „control“ beitragen wird.

Einordnung in Cybersecurity Konzepte (Cybersecurity concepts)
Dies ist das Attribut zum Anzeigen von „controls“ aus der Perspektive von Cybersicherheitskonzepten (vgl. Cybersicherheitsrahmenwerk gem. ISO/IEC TS 27110).

Operative Fähigkeiten Betriebsfähigkeit (Operational capabilities)
Das Attribut soll „controls“ aus der Sicht eines Praktikers/ISB betrachten.

Sicherheitsdomänen (Security domains)
Dieses Attribut ist zur Anzeige von „controls“ aus der Perspektive von vier IS Domänen gedacht.

Die folgende Grafik zeigt Ihnen noch einmal die 5 Attribute mit ihren jeweiligen Attributwerten auf.

Struktur der ISO 27002 - Übersicht der Attribute

Was bedeutet das Update für Sie und Ihr Unternehmen?

Wie bei allen ISO-Revisionen gibt es auch im Falle der ISO 27001:2022 für das Management der Informationssicherheit ISO-übliche Fristen für den Übergang von der alten und neue Zertifizierungsnorm. Nach der Veröffentlichung der neuen ISO 27001 im Oktober 2022 beginnt die Übergangsfrist von drei Jahren. Währenddessen haben die Unternehmen Zeit, sich auf die Zertifizierung oder Rezertifizierung nach der neuen Norm vorzubereiten. Nach drei Jahren, also ab dem 31. Oktober 2025, muss dann die Umstellung aller bestehenden Zertifikate auf die neue Norm erfolgt sein. 18 Monate nach der Veröffentlichung ist der letzte Termin für ein Erst- oder Rezertifizierungsaudit nach der alten ISO/IEC 27001:2013. Spätestens ab November 2023 können sich Unternehmen dann auch nach der neuen ISO 27001 zertifizieren lassen. Der Zeitpunkt ist jedoch abhängig von der DAkkS, der Deutschen Akkreditierungsstelle GmbH.

Resümee zur neuen ISO 27001:2022 und 27002:2022

Im Mittelpunkt der neuen Norm steht die Sicherheit in der Informationstechnik. Zu den wesentlichen Neuerungen der ISO 27001:2022 Revision gehören daher zeitgemäße Maßnahmen, die auf aktuelle Organisationsmethoden und damit verbundene Bedrohungen für das ISMS abgestimmt sind. Die Struktur des Dokuments wurde vereinfacht und zeigt jetzt die Sicherheitsmaßnahmen mit den zugehörigen Attributen auf. Zudem wurde die Kategorisierung gestrafft und in Themenblöcke unterteilt. Ein besonderer Fokus liegt auf dem Bereich der Prozessorientierung. Ihre Wichtigkeit wurde betont sowie ihre Wechselwirkungen und Kriterien aufgezeigt. Außerdem wurde die Harmonized Structure eingeführt.