Im Oktober 2022 veröffentlichte das Internation Accreditation Forum (IAF) die neue Norm ISO/IEC 27001:2022 und löste dadurch die bisher geltende Version ISO/IEC 27001:2013 ab. Dabei wurde die etablierte internationale Norm überarbeitet und mit einigen wichtigen Änderungen versehen. Eine grosse Tragweite hat dabei primär die Überarbeitung der Sicherheitsmassnahmen und deren Struktur in Anhang A, welche bereits Mitte Februar 2022 im Rahmen des überarbeiteten Standards ISO/IEC 27002:2022 veröffentlicht wurden. Was die neue Version der ISO-27001-Norm für Sie bedeutet, erfahren Sie in diesem Beitrag.
Lange mussten wir auf die dritte Edition der ISO-27001-Norm warten: Nach mittlerweile neun Jahren wurde nun Ende Oktober 2022 die neue Version herausgegeben. Bislang ist diese erst in Englisch verfügbar. Mit der deutschen Übersetzung ist frühestens im Herbst zu rechnen. Die erste offensichtliche Änderung ist bereits die Benennung der Norm. Bisher trug die ISO 27001 den Titel «Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen»; neu heisst sie «Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen». Die Aufnahme des Datenschutzes ist neu, was jedoch nicht sonderlich überraschend ist, da Informationssicherheit und Datenschutz – auch wenn sie unterschiedliche Perspektiven einnehmen – sehr ähnliche Ziele verfolgen und inhaltliche Überlappungen besitzen.
Grundsätzlich hat der Standard selbst nur marginale Änderungen erfahren. Betrachtet man beispielsweise das Inhaltsverzeichnis, fällt auf, dass die Kapitel 9.2 (Internal Audit) sowie 9.3 (Management Review) Unterkapitel erhalten haben. Zudem haben die Kapitel 10.1 (Neu: Continual improvement) und 10.2 (Neu: Nonconformity and corrective action) ihre Positionen gewechselt. Weiter ist das Kapitel 6.3 (Planning of Changes) neu hinzugekommen. Ansonsten hat sich – an der Norm selber – inhaltlich und strukturell nur wenig gegenüber der Vorgängerversion geändert. Das zentrale Gedankengut des Management-Systems, welches sich in ihren Grundzügen auch in anderen ISO-Normen wiederfinden lässt, bleibt unberührt.
Nachfolgend wollen wir trotzdem kurz auf die geänderten Text-Passagen eingehen. Da die deutsche Übersetzung noch nicht verfügbar ist, können unsere Übersetzungen von der offiziellen Version abweichen:
In Kapitel 4.2 (Understanding the needs and expectations of interested parties) wurde ein weiterer Punkt (c) ergänzt: Die Organisation muss festlegen, welche dieser Anforderungen durch das Informationssicherheits-Managementsystem (ISMS) erfüllt werden sollen.
In Kapitel 4.4 (ISMS) wurden die bestehenden Anforderungen um einem gewichtigen Teil ergänzt:
Die Organisation muss in Übereinstimmung mit den Anforderungen dieses Dokuments ein ISMS einrichten, umsetzen, aufrechterhalten und kontinuierlich verbessern, einschliesslich der erforderlichen Prozesse und ihrer Wechselwirkungen.
In Kapitel 6.1.3 (Information security risk treatment) wurde eine Fussnote mit Verweis auf Anhang A ergänzt. «Anhang A enthält eine Liste der möglichen Informationssicherheits-Massnahmen…». In der Praxis gibt es immer wieder Diskussionen, ob nun alle Kontrollen umgesetzt werden müssen oder nicht. Diese sind zwar mit dem Wort «möglichen» nicht ganz vom Tisch, aber es ist ersichtlich, dass hier Spielraum vorhanden ist.
In Kapitel 6.2 (Information security objectives and planning to achieve) wurde zu den Informationssicherheitszielen «überwacht» (Punkt d) und «als dokumentierte Informationen verfügbar sein» (Punkt g) ergänzt.
Im neuen Kapitel 6.3: «Planning of changes». wird verlangt:
Wenn die Organisation feststellt, dass Änderungen am ISMS notwendig sind, müssen die Änderungen geplant durchgeführt werden.» Eine Selbstverständlichkeit, die nun auch als zwingende Anforderung in der Norm festgehalten ist.
In Kapitel 7.4 (Communication / Kommunikation) wurden die Punkte d) und e) zusammengefasst
Einige Modifikationen hat das Kapitel 8.1 (Operational planning and control) erfahren. Es wird verlangt, dass zur Steuerung Kriterien für die Prozesse festgelegt und Kontrollen in Übereinstimmung mit diesen durchgeführt werden müssen. Weiter müssen Dokumentationen so verfügbar sein, dass damit ein Nachweis über die korrekte Funktionsweise der Prozesse möglich ist. Auch wird auf extern bezogene Prozesse hingewiesen: «Extern bereitgestellte Prozesse, Produkte oder Dienstleistungen, welche relevant für das ISMS sind, müssen kontrolliert werden.»
In Kapitel 9.1 (Monitoring, measurement, analysis and evaluation) wurden die Sätze umgestellt.
Das Kapitel 9.2 (Internal audit) wurde komplett neu unterteilt: Es hat nun die Kapitel 9.2.1 (General) und 9.2.2 (Internal audit programme). Inhaltlich hat sich nichts verändert.
Analoges gilt auch für das Kapitel 9.3 (Management review): Es ist unterteilt in 9.3.1 (General), 9.3.2 (Management review inputs) und 9.3.3 (Management review results). Dazu gekommen ist in 9.3.2, dass auch Änderungen der Bedürfnisse und Erwartungen der interessierten Parteien, die für das ISMS relevant sind, behandelt werden müssen (Punkt c).
Wie bereits erwähnt, haben die Kapitel 10.1 und 10.2 ihre Positionen gewechselt. Inhaltlich hat sich aber auch hier nichts geändert.
So weit, so gut – bis hierhin weisst die Norm eher «kosmetische» Änderungen auf.
Die relevanten Anpassungen finden sich im erwähnten Anhang A. Dabei wurden die Massnahmen (Controls) aktualisiert und neu strukturiert. Anstelle von 114 sind es «nur» noch 93 Massnahmen. Dies, obschon elf neue dazu gekommen sind und nur eine Massnahme gestrichen wurde. Einige der Massnahmen wurden zusammengefasst.
Die dazu gehörende Norm ISO 27002 mit Handlungsempfehlungen und Hilfsstellung zur Umsetzung der einzelnen Massnahmen wurde wie erwähnt bereits Mitte Februar 2022 veröffentlicht und von uns bereits in einem früheren Blogartikel vorgestellt.
Die Controls im Anhang A der ISO 27001:2022 sind nun in vier Kontroll-Typen unterteilt:
Organisatizational Controls mit 37 Massnahmen (3 neue Massnahmen – A.5.7/23/30)
People Controls mit – wie bisher – 8 Massnahmen
Physical Controls mit 14 Massnahmen (1 neue Massnahme – A.7.4)
Technological Controls mit nochmals 34 Massnahmen (7 neue Massnahmen – A.8.9/10/11/12/16/23/28)
Neu hinzugekommen sind folgende elf Massnahmen, die sich um aktuelle Themen wie Cloud-Sicherheit, Threat Intelligence und datenschutzverwandte Themen kümmern:
A.5.7 Threat intelligence
A.5.23 Information security for use of cloud services
A.5.30 ICT readiness for business continuity
A.7.4 Physical security monitoring
A.8.9 Configuration management
A.8.10 Information deletion
A.8.11 Data masking
A.8.12 Data leakage prevention
A.8.16 Monitoring activities
A.8.23 Web filtering
A.8.28 Secure coding
Zusätzlich zu den neuen Massnahmen und der komplett überarbeiteten Struktur wird nun jede Massnahme mit fünf weiterführenden Attributen versehen:
Kontrolltyp (Preventive, Detective, Corrective)
Eigenschaft der Informationssicherheit (Confidentiality, Integrity, Availability)
Cybersicherheitskonzepte (Identify, Protect, Detect, Respond, Recover)
Operative Fähigkeiten (bspw.: Governance, Physical Security, IAM, …)
Sicherheitsdomänen (Governance_and_Ecosystem Protection, Defence, Resilience)
Die Attribute gleichen die neue, flache Hierarchie des ISO 27001:2022 Anhang A gegenüber der Vorgängerversion aus (4 Control-Typen in der neuen Version vs. 14 Bereiche in der 2013er Version). Dank dieser Attributierung lassen sich auch Stärken-/Schwächen-Profile darstellen und Verbesserungspotentiale ableiten.
Abb: Exemplarisches Beispiel eines Stärken-/Schwächen-Profils nach ISO/IEC 27001:2022 Anhang A. Operational Capabilities
Die Änderungen sind zwar bemerkbar, erfordern jedoch keinen komplett neuen Umgang mit dem Thema Informationssicherheit oder einschneidende Veränderungen an einem bereits bestehenden Informationssicherheits-Managementsystem. Vielmehr repräsentieren sie notwendige Anpassungen an das wachsende Verständnis und die weitereichende Bedeutung von Informationssicherheit. Und so ist die neue ISO 27001:2022 in ihren wesentlichen Aussagen und Anforderungen vergleichbar zur Vorgängerversion.
Trotzdem führt die grundlegende Re-strukturierung der Sicherheitsmassnahmen dazu, dass bekannte und etablierte Themenblöcke getrennt werden, beispielsweise das Thema «Access Management» und die dazugehörigen Massnahmen (ehemals Kapitel 9 im Anhang A). Diese Disziplin verteilt sich nun auf drei der vier Kontroll-Typen: Organizational, physical und technical controls.
Auf der anderen Seite wurden bestehende Massnahmen teilweise zusammengefasst, so beispielsweise 9.2.2 (User access provisioning), 9.2.5 (Review of user access rights) und 9.2.6 (Removal or adjustment of access rights), welche neu unter 5.18 (Access rights) vereint sind. Gleichzeitig wird durch die zunehmende Bedeutung des Datenschutzes zwangsläufig der Ruf nach einem integrierten Management-System für beide Bereiche laut und es empfiehlt sich dadurch der Zuzug der ISO-27701-Norm als Ergänzung zu ISO 27001 und ISO 27002 .
Auch wenn noch drei Jahre Zeit bis zum Wechsel bleiben, sollte sich jedes bereits zertifizierte Unternehmen damit auseinandersetzen und einen Projektplan zur Migration erstellen, damit am Ende nicht doch noch ein (unnötiger) Zeitdruck entsteht.
Die ISO 27001:2022 wurde am 25. Oktober 2022 veröffentlicht mit einer Übergangsfrist von drei Jahren (36 Monate). Daraus ergeben sich für Normanwender folgende Zeiträume und Fristen für den Übergang:
Zertifizierungsbereitschaft nach ISO/IEC 27001:2022
→ voraussichtlich ab 2. Halbjahr 2023 (abhängig von der Akkreditierungsstelle), Angabe ohne Gewähr
Letzter Termin für Erst-/Re-Zertifizierungsaudits nach der früheren ISO 27001:2013
→ 18 Monate nach Veröffentlichung der neuen ISO/IEC 27001:2022, sprich April 2024
Umstellung aller bestehenden Zertifikate auf die neue ISO/IEC 27001:2022
→ 3 Jahre, bezogen auf letzten Tag des Ausgabemonats von ISO/IEC 27001:2022 (Oktober 2025). Bis dahin müssen alle ISMS auf die neue Norm angepasst sein.
Diese Fristen für den Übergang sind ISO-üblich. Sie entsprechen dem Re-Zertifizierungsrhythmus, den die ISO 27001 ohnehin vorsieht. Zertifizierte Unternehmen müssen in jedem Fall alle drei Jahre einen komplett neuen Auditprozess durchlaufen, um ihr ISMS neu zu zertifizieren.
Für bereits zertifizierte Unternehmen
Die Dokumentation für die neuen Controls sollten frühestmöglich angepasst und aktualisiert werden. Beim nächsten Audit kann das Unternehmen dadurch bereits nach der ISO 27001:2022 zertifiziert werden.
Für noch nicht zertifizierte Unternehmen
Wenn sich Unternehmen erstmals zertifizieren lassen wollen, können sie das nach wie vor nach der alten Version tun. Besser wäre es allerdings – sofern das Audit nach der Zertifizierungsbereitschaft der Akkreditierungsstelle geplant ist – direkt die neue Version umzusetzen. Dann muss nach Ablauf der Übergangsfrist keine erneute Auditierung angesetzt werden.
Wir bei InfoGuard begleiten Sie auf dem Weg zur Compliance. Unsere Informationssicherheitsexpert*innen verfügen über das branchenspezifische Fachwissen zur Einführung eines ISMS nach ISO 27001:2022 (natürlich auch ISO 27001:2013 oder unter Berücksichtigung weiterer Standards, wie NIST CSF, DSG/DSGVO, SWIFT, usw.) und begleiten Sie durch interne sowie externe Audits.
Unterstützt wird der gesamte Prozess durch unsere Informationssicherheits-Management-Plattform, die manuelle Prozesse automatisiert und Sie Schritt für Schritt durch das gesamte Projekt führt. Vereinbaren Sie einfach einen Termin für ein kostenloses, unverbindliches Beratungsgespräch und nehmen Sie den Migrations-Prozess für die ISO 27001:2022 baldmöglichst in Angriff.