Informationen über den Übergang zur ISO27001:2022

Mit diesem letzten Newsletter in diesem Jahr möchten wir Sie über die Umstellung Ihres zertifizierten ISMS auf die neue Version ISO27001:2022 informieren.

Der Newsletter ist in erster Linie für DigiTrust-Kunden gedacht, die nach ISO27001 und/oder NEN7510 zertifiziert sind. Aber auch für alle DigiTrust-Kunden, die wissen wollen, wie die Umstellung funktioniert. Wir veranstalten auch einige TEAMS-Sitzungen, an denen Sie kostenlos teilnehmen können.

Die neuen Versionen von ISO27001 und ISO27002 sind sowohl auf Niederländisch als auch auf Englisch erhältlich. Diese Normen können über die NEN-Website bestellt werden.

NEN7510 ist noch nicht aktualisiert worden und wird später folgen.

Die Übergangsprüfung

Um Ihr zertifiziertes Informationssicherheits-Managementsystem (ISMS) auf die neue Version ISO27001:2022 umzustellen, muss DigiTrust ein Übergangsaudit bei Ihnen durchführen. Hierfür wurden Fristen festgelegt. Welche Frist für Sie gilt, hängt davon ab, wann Sie Ihre Erstzertifizierung erhalten haben. In der nachstehenden Tabelle finden Sie alle Einzelheiten.

Was müssen Sie vorbereiten?

Um das Übergangsaudit erfolgreich zu bestehen, müssen Sie Ihr ISMS anpassen. Welche Maßnahmen müssen Sie ergreifen?

1. Analyse der Lücken

Sie sollten eine Lückenanalyse durchführen. In dieser Analyse sollten Sie festhalten, welche Teile Ihres ISMS von dieser neuen Norm betroffen sind. Berücksichtigen Sie Ihr Handbuch, die Risikoanalyse, den Risikobehandlungsplan, die VVT und die Gestaltung der neuen und geänderten Kontrollen.

Um es Ihnen leicht zu machen, haben wir eine Vorlage für die Durchführung der Lückenanalyse vorbereitet. Sie können diese Vorlage verwenden oder Ihre eigene, ähnliche Methode anwenden. Sie finden diese Vorlage am Ende dieses Newsletters.

> Während des Übergangsaudits werden wir Ihre Lückenanalyse überprüfen.

2. Aktionsplan

Auf der Grundlage der erstellten Lückenanalyse werden Sie dann für jedes Thema Maßnahmen festlegen. Wie werden Sie die Veränderung gestalten, wer wird sie durchführen und wann sollte sie abgeschlossen sein.

> Während des Übergangsaudits werden wir Ihren Aktionsplan überprüfen.

3. Risikoanalyse und Behandlungsplan anpassen

Im Rahmen Ihres ISMS haben Sie eine Risikoanalyse und einen Behandlungsplan erstellt. Darin haben Sie festgehalten, welche Maßnahmen Sie selbst ergriffen haben, um die Risiken zu mindern. Diese Maßnahmen sollten mit dem Anhang A verglichen werden, um zu überprüfen, ob keine notwendigen Maßnahmen vergessen wurden. Da sich der Anhang A geändert hat, müssen Sie diesen Mechanismus an den neuen Anhang A anpassen.

> Während des Übergangsaudits werden wir Ihre Risikobewertung und Ihren Behandlungsplan überprüfen.

4. Anpassung der Kontrollen nach Anhang A

Der neue Standard enthält 11 neue Kontrollen, und mehrere Maßnahmen aus dem alten Standard wurden zusammengelegt. Natürlich müssen Sie sich genauer ansehen, ob diese Kontrollen auf Sie zutreffen und wie Sie sie in Bezug auf Ihre eigene Risikoanalyse interpretieren werden. Die neue ISO27002 gibt Ihnen in dieser Hinsicht eine Menge "Best Practice"-Anleitungen.

> Während des Übergangsaudits werden wir Ihre Nachweise über die Durchführung der neuen und angepassten (zusammengelegten) Kontrollmaßnahmen bewerten.

5. VVT-Einstellung

In Übereinstimmung mit den Standardanforderungen müssen Sie eine Erklärung zur Anwendbarkeit (VVT) erstellen. Da sich Anhang A geändert hat, müssen Sie die VVT in ihrer Gesamtheit überarbeiten.

> Während des Übergangsaudits werden wir Ihr VVT bewerten.

6. Internes Audit

Bevor DigiTrust zu Ihnen kommt, um das Übergangsaudit durchzuführen, sollten Sie selbst ein internes Audit durchgeführt haben. Dabei sollten Sie zumindest die Risikoanalyse und den Behandlungsplan einschließlich der neuen und geänderten (zusammengelegten) Kontrollen aus Anhang A prüfen.

> Während der Übergangsprüfung werden wir Ihren internen Prüfbericht überprüfen.

7. Management-Review

Durchführung der Managementbewertung gemäß Abschnitt 9.3. Dazu gehört auch die Erörterung der Ergebnisse des internen Audits.

> Während des Übergangsaudits werden wir Ihr (zusätzlich) durchgeführtes Management Review überprüfen.

Durchführung der Übergangsprüfung durch DigiTrust

Wenn Sie während Ihres Zertifizierungszyklus wechseln, beträgt das Übergangsaudit 8 Stunden.

Wenn es sich bei Ihrem bevorstehenden Audit um eine HER-Zertifizierung handelt und Sie auf die neue Norm umstellen, dauert das Übergangsaudit 4 Stunden.

Während dieses Audits werden die oben genannten 7 Themen bewertet. Dieses Audit wird vom DigiTrust-Auditor zusammen mit Ihrem CISO oder einer anderen Kontaktperson innerhalb Ihrer Organisation aus der Ferne durchgeführt. Grundsätzlich werden wir keine Gespräche mit Mitarbeitern Ihrer Organisation führen, es sei denn, der Prüfer hält dies für notwendig.

Es ist wichtig, dass Sie sich auf die oben genannten Punkte gut vorbereitet haben und über die nötigen Nachweise für eine reibungslose Durchführung der Übergangsprüfung verfügen.

Nach dem Audit erstellt der DigiTrust-Auditor einen Bericht darüber (2 Stunden). Das Dossier wird intern geprüft (1 Stunde), und wenn alles genehmigt ist, erstellt DigiTrust Ihr neues ISO27001:2022-Zertifikat und sendet es Ihnen zu. (1h)

Kosten

Die Kosten für diese Übergangsprüfung betragen;

Während des Zertifizierungszyklus dauert das Audit selbst 4 Stunden und die anderen 4 Stunden sind für die Berichterstattung und die Formatierung des neuen Zertifikats vorgesehen. Die Gesamtkosten belaufen sich auf 1 Tag, zum Tagessatz Ihrer Vereinbarung. Darin enthalten sind der Auditbericht, die Formatierung und die Veröffentlichung Ihres neuen Zertifikats.

Wenn die HER-Zertifizierung kombiniert wird, beträgt das Übergangsaudit 4 Stunden zum geltenden Tagessatz.

Kombination von ISO27001 und NEN7510

Wenn Sie sowohl nach ISO27001 als auch nach NEN7510 zertifiziert sind, ist es auch möglich, bereits mit Ihrer ISO27001-Zertifizierung auf die neue Version der Norm umzustellen. Sie sollten sich darüber im Klaren sein, dass dies die Komplexität Ihres eigenen ISMS erhöhen wird. Während des NEN7510-Audits werden wir uns den alten Anhang A ansehen.

Zeitplan für diesen Übergang

Die Übergangsfrist (wann Sie spätestens umstellen müssen) hängt von Ihrer spezifischen Situation ab. Sehen Sie in der Tabelle nach, wann Sie Ihre erste ISO27001-Zertifizierung erhalten haben. Dann können Sie sehen, welches Szenario auf Sie zutrifft.

• Blau = DigiTrust kann und darf Ihr ISMS noch nach der alten Version der Norm prüfen.
• Grün = DigiTrust muss Ihr ISMS nach der neuen Norm ISO27001:2022 prüfen lassen.

Im Jahr 2025 müssen Sie den Übergang bis zum 1.11.2025 vollzogen haben.

Natürlich können Sie bereits auf die neue Norm umstellen und Ihre Übergangsprüfung vor der anstehenden Prüfung planen. In der Tabelle sind nur die Fristen aufgeführt. Bitte setzen Sie sich diesbezüglich rechtzeitig mit unserem Backoffice in Verbindung.

Zeitplan für die Übergangsprüfung

Wenn Sie diese Übergangsprüfung durchführen lassen möchten, benachrichtigen Sie bitte unser Back Office. Senden Sie dazu bitte eine E-Mail an: backoffice@digitrust.nl

Unser Backoffice wird sich mit Ihnen in Verbindung setzen, um den Termin für die Prüfung festzulegen. Die Prüfung selbst dauert 4 Stunden und wird aus der Ferne durchgeführt. Es ist wichtig, dass Sie dies rechtzeitig tun, da die Prüfer verfügbar sind.

Das Übergangsaudit muss während des laufenden Zyklus mindestens 2 Wochen vor Ihrem regulären Audit angesetzt werden. In diesen 2 Wochen können wir Ihre Übergangsakte fertigstellen und Ihr neues Zertifikat vorbereiten. So kann Ihr reguläres Audit dann nach der neuen Norm durchgeführt werden.

Mit der HER-Zertifizierung kann das Übergangsaudit kombiniert werden.

Inhaltliche Standardänderungen

Die wichtigste Änderung in ISO27001:2022 besteht darin, dass Anhang A geändert wurde. Die aktuelle ISO27001 enthielt 114 Kontrollen, die in 14 Kapiteln (Anhang 5 bis Anhang 18) unterteilt waren. In der neuen ISO27001:2022 werden diese auf vier Kapitel und 93 Kontrollen reduziert.

5 Organisation 37 Kontrollen

6 Mitarbeiter 8 Kontrollen

7 Physische Sicherheit 14 Kontrollen

8 Technologie 34 Kontrollen

Praktisch ist, dass (über das DigiTRust-Backoffice) Kreuztabellen zwischen den neuen und den alten Steuerelementen verfügbar sind.

Änderungen in Anhang A

Neue Verwaltungsmaßnahmen; es gibt 11 neue Verwaltungsmaßnahmen.

Neue Kontrolle Verwaltungsmaßnahme

• A.5.7 Informationen und Analyse von Bedrohungen
• A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten
• A.5.30 IKT-Bereitschaft für die Geschäftskontinuität
• A.7.4 Überwachung der physischen Sicherheit
• A.8.9 Konfigurationsmanagement
• A.8.10 Löschung von Informationen
• A.8.11 Maskierung von Daten
• A.8.12 Verhinderung von Datenverlusten (Data Leakage Prevention)
• A.8.16 Überwachungsmaßnahmen
• A.8.23 Anwendung von Webfiltern
• A.8.28 Sichere Verschlüsselung

Es ist wichtig, ISO27002:2022 zu konsultieren. Darin werden bewährte Praktiken beschrieben, die Sie nutzen können, um die Kontrolle so einzurichten, dass das damit verbundene Risiko (in Ihrer eigenen Risikoanalyse) gemindert wird.

Geänderte Managementmaßnahmen

Darüber hinaus wurden mehrere Kontrollen aus der alten Norm in die neue Norm übernommen. Welche das sind, können Sie in den Kreuztabellen sehen. In Ihrem ISMS sollten diese also zusammengeführt werden.

HLS-Änderungen

Auch bei den HLS-Themen gibt es einige kleinere Änderungen. (Kapitel 4 bis Kapitel 10). Keine größeren Änderungen, aber aktualisieren Sie Ihr ISMS-Handbuch und Ihre Richtlinien.

• 4.1 Schärfung des Kontextes
• 4.2 Schärfung der Stakeholder
• 4.4 Verschärfung des ISMS
• 6.1.3 Verschärfung der Risikobehandlung
• 6.2 Zielsetzung Schärfen
• 6.3 Änderungsmanagement Zusatz
• 7.4 Straffung der Kommunikation
• 8.1 Operative Planung umgeschrieben
• 9.1 Überwachung des Anziehens
• 9.2 Allgemeines und Aufteilung des Prüfungsprogramms
• 9.3 Allgemeines, Ein- und Ausgangssplitting
• 10.1 Verbesserung und Abweichungen & Korrekturmaßnahmen Änderung der Nummerierung