Cookie-Einstellungen
Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.
Konfiguration
Technisch erforderlich
Diese Cookies sind für die Grundfunktionen des Shops notwendig.
"Alle Cookies ablehnen" Cookie
"Alle Cookies annehmen" Cookie
Ausgewählter Shop
CSRF-Token
Cookie-Einstellungen
Individuelle Preise
Kunden-Wiedererkennung
Kundenspezifisches Caching
PayPal-Zahlungen
Session
Währungswechsel
Komfortfunktionen
Diese Cookies werden genutzt um das Einkaufserlebnis noch ansprechender zu gestalten, beispielsweise für die Wiedererkennung des Besuchers.
Merkzettel
Statistik & Tracking
Endgeräteerkennung
Partnerprogramm

Die Änderungen der neuen ISO 27001:2022 & ISO 27002:2022

aenderungen-iso-27001-iso-27002

Mit ihren Änderungen reagieren die neue ISO 27001:2022 und ISO 27002:2022 den technologischen Wandel und stärken so die Widerstandsfähigkeit von Unternehmen. Nach 9 Jahren gab es 2022 endlich ein Update der ISO 27001 und ISO 27002 zum Management der Informationssicherheit. Im Nachgang zur Aktualisierung des Leitfadens ISO 27002:2022, hat sich nun auch die ISO 27001 in 2022 geändert. Vor allem der Maßnahmenkatalog (Anhang / Annex A), mit einer Liste möglicher Informationssicherheitsmaßnahmen, wurde aus der überarbeiteten Norm ISO/IEC 27002 abgeleitet. Die Änderung der Norm ist dringend notwendig, da in Zeiten industrialisierter Cyberattacken die Anpassung an immer neue Informationssicherheitsrisiken nämlich einen zeitgemäßen und flexiblen Ansatz erfordert. Die 93 vorgeschlagenen Neuerungen der Sicherheitsmaßnahmen bieten nun die Basis, um Unternehmen vor Cyberbedrohungen unserer informationsgetragenen täglichen Geschäftsabläufe, kritischer Daten sowie geistigen Eigentums zu schützen.

Neben der Aktualisierung der Sicherheitsmaßnahmen setzt die neue ISO 27001:2022 zudem auf Prozessorientierung beim Management der Informationssicherheit. Hierzu wurde die seit Mai 2021 gültige Harmonized Structure (HS – bisher High-Level-Structure [HLS]) angewendet, bei der u.a. erforderliche Prozesse und ihre Wechselwirkungen im Rahmen des Informationssicherheitsmanagementsystems (ISMS) zu bestimmen sind.

Der Aufbau der ISO 27001:2022 nach der Harmonized Structure (HS)

Welche weiteren Änderungen es in den einzelnen Abschnitten und Kapiteln gibt, zeigen wir Ihnen im Folgenden.

Die Änderungen in den Abschnitten 4 bis 10 der neuen ISO/IEC 27001 (PDCA des ISMS)

Mit der Anwendung der Harmonized Structure in der ISO/IEC 27001:2022 Revision mussten folglich auch einige Abschnitte und deren Inhalte daran angepasst werden.

Abschnitt 4.4: Informationssicherheitsmanagementsystem (Information security management system)
In diesem Abschnitt fordert die Norm die Bestimmung erforderlicher Prozesse sowie ihrer Wechselwirkungen im Rahmen des ISMS.

Abschnitt 5.3: Rollen, Verantwortlichkeiten und Befugnisse in der Organisation (Organizational roles, responsibilities and authorities)
Die Norm fordert von Unternehmen die verbindliche Bekanntmachung der Verantwortlichkeiten und Befugnisse in den Organisationen für Rollen mit Bezug zur Informationssicherheit.

Abschnitt 6.1.3: Informationssicherheitsrisikobehandlung (Information security risk treatment)
Mit diesem Abschnitt ermöglicht die Norm eine flexiblere Auswahl, Gestaltung und Erweiterung der Referenzmaßnahmen aus Anhang A (Liste möglicher (possible) Informationssicherheitsmaßnahmen). Die neue Version unterstreicht zudem die Öffnung des Managementsystemrahmens für organisationsspezifische Maßnahmensätze.

Abschnitt 6.3: Planung von Änderungen (Planning of changes)
Die Beherrschung von ISMS-bezogener Veränderungsprozesse wird in diesem Abschnitt von der Norm gefordert.

Abschnitt 7.4: Kommunikation (Communication)
Die neue Version erweitert diesen Abschnitt um das „Wie“ der Kommunikation (bisher Worüber, Wann, mit Wem und Wer).

Abschnitt 8.1: Betriebliche Planung und Steuerung (Operational planning and control)
Es muss eine Realisierung von Prozessen im Rahmen ihrer betrieblichen Planung und Steuerung erfolgen, um die Maßnahmen zur Bewältigung der Informationssicherheitsrisiken (mit Prozesskriterien zur Prozess-Steuerung) umzusetzen.

Abschnitt 9.2 / 9.3: Internes Audit / Managementbewertung (Internal audit / Management review)
Die Abschnitte „Internes Audit“ sowie „Managementbewertung“ wurden in der neuen Norm an die Harmonized Structure angepasst und weiter untergliedert.

Abschnitt 10.1 / 10.2: Fortlaufende Verbesserung / Nichtkonformität und Korrekturmaßnahmen (Continual improvement / Nonconformity and corrective action)
Der Aspekt der prospektiven fortlaufenden Verbesserung ist jetzt vor den retrospektiven Umgang mit Nichtkonformitäten und Korrekturmaßnahmen ohne eine weitere inhaltliche Änderung gestellt.

Die Übersicht zu den erfolgten Änderungen im Anhang A

Statt 114 Informationssicherheitsmaßnahmen, die in der alten Norm 27001:2013 noch in 14 Kategorien zusammengefasst wurden, sieht die Struktur im neuen Anhang / Annex A der aktualisierten ISO/IEC 27001 2022 für Informationssicherheit hingegen nur noch 93 Maßnahmen vor. Diese sind außerdem auch nur noch in 4 Hauptkategorien unterteilt. Die 4 Abschnitte der Sicherheitsmaßnahmen gliedern sich in die Themenbereiche organisatorische, personelle, physische sowie technische Maßnahmen.

Die 11 neuen Sicherheitsmaßnahmen im Überblick

Auch wenn einige Sicherheitsmaßnahmen gestrichen wurden, gibt es allerdings auch 11 neue Maßnahmen, die wir Ihnen hier aufzeigen.

1. Bedrohungsintelligenz (Threat Intelligence)
Sammlung und Analyse von Bedrohungsinformationen, um Schutzmaßnahmen zu bestimmen.

2. Nutzung von Cloud-Diensten (Cloud Services)
Sichere Prozesse für Onboarding, Nutzung, Verwaltung sowie Ausstieg bei Cloud Anbietern.

3. IKT-Bereitschaft für Business Continuity (Business Continuity)
Anforderungen an Wiederherstellungsmaßnahmen mit einem neuen Fokus auf technische Maßnahmen.

4. Physische Sicherheitsüberwachung (Physical Security Monitoring)
Überwachungsmaßnahmen, Einbruchsalarme etc. zur Abschreckung und zum Schutz vor unbefugtem Zugriff.

5. Datenmaskierung (Data Masking)
Beschränkung, Anonymisierung sowie Pseudonymisierung von Daten.

6. Verhinderung von Datenlecks (Data Leakage Prevention)
Überwachung und Erkennung von Datenverlust/ Offenlegung/ Datenleck.

7. Überwachung von Aktivitäten (Monitoring)
Proaktive Überwachung von abweichenden Aktivitäten.

8. Webfilterung (Web Filtering)
Filterung von gefährlichen Webseiten, die Malware verbreiten oder aber unbefugt Daten auslesen.

9. Sicheres Coding (Secure Coding)
Sichere Kodierung ohne Schwachstellen oder Anfälligkeit für Angriffe.

10. Konfigurationsmanagement (Configuration Management)
Korrekte Einstellung von Sicherheitsmaßnahmen und Sicherung der Konfiguration.

11. Löschung von Informationen (Information Deletion)
Anforderungen zur Datenspeicherung im Hinblick auf DSGVO sowie GDPR.

Update-Seminar Neue ISO 27001:2022-27002:2022

Ihre Ausbildung zu den Änderungen der neuen ISO 27001 & 27002

Präsenzschulung / Virtual-Classroom-Training: Im Update-Seminar zur neuen ISO 27001:2022 und 27002:2022 für Informationssicherheit erhalten Sie einen Überblick über alle Änderungen, die die Revisionen der ISO IEC 27001 und der ISO IEC 27002 mit sich bringen.

E-Learning Kurs: Zudem können Sie diese Schulung auch online als E-Learning Kurs absolvieren. Sparen Sie somit Zeit und lernen Sie in Ihrem optimalen Tempo. Werfen Sie auch einen Blick in den kostenlosen Demokurs!

Was sind die 5 Attribute zur Kategorisierung von „Controls“ in der ISO 27001:2022?

Anders als ISO/IEC 27001:2022 Update begrenzt sich die aktualisierte ISO/IEC 27002 nicht nur auf die Nennung von Maßnahmen. Zusätzlich ordnet der Leitfaden jeder Maßnahme immer 5 Attribute zu. Das Unternehmen kann diese Attribute und ihre Attributwerte verwenden, um verschiedene Ansichten der Maßnahmen durchzuführen, bei denen es sich um unterschiedliche Kategorisierungen von „controls“ (Sicherheitsmaßnahmen) aus einer anderen Perspektive zu den einzelnen Themen handelt. Dadurch wird die Transparenz erhöht und Fehlinterpretationen bei der Anwendungen werden weniger. Die 5 Attribute sind:

Wirkungsweise der Maßnahmen Maßnahmenart (Control type)
Das Attribut soll „controls“ aus der Perspektive anzeigen, wann und wie die „controls“ das Risiko im Hinblick auf das Auftreten eines Informationssicherheitsvorfalls modifiziert.

Auswirkung auf Sicherheitsziele /IS Eigenschaften (Information security properties)
Dieses Attribut wurde eingeführt, um „controls“ aus der Perspektive zu betrachten, zu welcher Informationseigenschaft das „control“ beitragen wird.

Einordnung in Cybersecurity Konzepte (Cybersecurity concepts)
Dies ist das Attribut zum Anzeigen von „controls“ aus der Perspektive von Cybersicherheitskonzepten (vgl. Cybersicherheitsrahmenwerk gem. ISO/IEC TS 27110).

Operative Fähigkeiten Betriebsfähigkeit (Operational capabilities)
Das Attribut soll „controls“ aus der Sicht eines Praktikers/ISB betrachten.

Sicherheitsdomänen (Security domains)
Dieses Attribut ist zur Anzeige von „controls“ aus der Perspektive von vier IS Domänen gedacht.

Die folgende Grafik zeigt Ihnen noch einmal die 5 Attribute mit ihren jeweiligen Attributwerten auf.

Struktur der ISO 27002 - Übersicht der Attribute

Was bedeutet das Update für Sie und Ihr Unternehmen?

Wie bei allen ISO-Revisionen gibt es auch im Falle der ISO 27001:2022 für das Management der Informationssicherheit ISO-übliche Fristen für den Übergang von der alten und neue Zertifizierungsnorm. Nach der Veröffentlichung der neuen ISO 27001 im Oktober 2022 beginnt die Übergangsfrist von drei Jahren. Währenddessen haben die Unternehmen Zeit, sich auf die Zertifizierung oder Rezertifizierung nach der neuen Norm vorzubereiten. Nach drei Jahren, also ab dem 31. Oktober 2025, muss dann die Umstellung aller bestehenden Zertifikate auf die neue Norm erfolgt sein. 18 Monate nach der Veröffentlichung ist der letzte Termin für ein Erst- oder Rezertifizierungsaudit nach der alten ISO/IEC 27001:2013. Spätestens ab November 2023 können sich Unternehmen dann auch nach der neuen ISO 27001 zertifizieren lassen. Der Zeitpunkt ist jedoch abhängig von der DAkkS, der Deutschen Akkreditierungsstelle GmbH.

Gesamtkatalog VOREST AG

Ihre ISMS-Ausbildungen im Überblick

Wir bereits Sie mit unseren Ausbildungen auf kommende Aufgaben zum Informationssicherheitsmanagement vor. Steigen Sie mit dem Basiswissen ISMS ISO/IEC 27001 in die Grundlagen des Themas ein oder qualifizieren Sie sich zum internen Auditor ISO 27001 oder ISMS-Managementbeauftragten ISO 27001.

Viele unserer Ausbildungen können Sie dabei auch als zeit- und ortsunabhängiges E-Learning absolvieren. Laden Sie sich für eine komplette Übersicht einfach unseren Katalog kostenfrei herunter.

Resümee zur neuen ISO 27001:2022 und 27002:2022

Im Mittelpunkt der neuen Norm steht die Sicherheit in der Informationstechnik. Zu den wesentlichen Neuerungen der ISO 27001:2022 Revision gehören daher zeitgemäße Maßnahmen, die auf aktuelle Organisationsmethoden und damit verbundene Bedrohungen für das ISMS abgestimmt sind. Die Struktur des Dokuments wurde vereinfacht und zeigt jetzt die Sicherheitsmaßnahmen mit den zugehörigen Attributen auf. Zudem wurde die Kategorisierung gestrafft und in Themenblöcke unterteilt. Ein besonderer Fokus liegt auf dem Bereich der Prozessorientierung. Ihre Wichtigkeit wurde betont sowie ihre Wechselwirkungen und Kriterien aufgezeigt. Außerdem wurde die Harmonized Structure eingeführt.

Weitere interessante Wissens-Artikel zum Thema ISMS ISO 27001 finden Sie hier: Fachwissen zum Thema Informationssicherheitsmanagement.

Anprechpartner Kati Schaefer
Sie haben Fragen oder wünschen ein Angebot?
Ich helfe Ihnen gerne weiter!

Kati Schäfer
Produktmanagement Training & PRO SYS
Tel.: 07231 92 23 91 - 0
E-Mail: kschaefer@vorest-ag.de

Unsere Serviceangebote im Bereich Informationssicherheitsmanagement

Wir nutzen Cookies und andere Technologien.

Diese Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt.

Alle akzeptieren Konfigurieren