DE 
NL 
EN 
Am 25. Oktober 2022 wurde die aktualisierte Norm ISO 27001 in den Niederlanden eingeführt. Die ISO 27001:2022 ersetzt die alte Norm ISO 27001:2013. In diesem Artikel erklären wir, was sich gegenüber der alten Norm von 2013 geändert hat.
Kurz gefasst:
- Der Name der Norm wurde geändert
- Die Anzahl der Kapitel wurde gekürzt.
- Die Zahl der Bewirtschaftungsmaßnahmen wurde reduziert (vieles wurde zusammengelegt)
- 11 neue Verwaltungsmaßnahmen wurden hinzugefügt
- Auch im Verwaltungssystem wurden Änderungen vorgenommen.
ISO 27001:2023
Anmerkung: Die ISO 27001:2023 wurde kürzlich veröffentlicht. Dies ist die europäische Version der ISO 27001. Diese Version ist völlig identisch mit der globalen Version, es wurde lediglich ein europäisches Vorwort hinzugefügt. Was dies genau bedeutet hier lesen.
Wichtige Erkenntnisse: Dies hat keinen Einfluss auf Ihre bestehenden Zertifizierungen nach ISO 27001:2022.
Warum wurde die ISO 27001-Norm geändert?
Die Normen werden in regelmäßigen Abständen überarbeitet, um sicherzustellen, dass sie mit der Praxis übereinstimmen. Damit soll verhindert werden, dass die Norm durch technologische Entwicklungen und neue Erkenntnisse überholt wird. Dank dieser Überarbeitung von ISO 27001:2013 zu ISO 27001:2022 entspricht die ISO-Norm den aktuellen Bedrohungen und Technologien im Zusammenhang mit Informationssicherheit, Cybersicherheit und Datenschutz.
Die Norm ISO 27001:2022 ist führend
Die ISO hat die Norm Ende 2022 in den Niederlanden eingeführt. ISO 27001:2022 wird also führend sein und das bedeutet, dass ISO 27001:2013, ISO 27001:2013/Kor 1:2014, ISO 27001:2013/Kor 2:2015 und NEN-EN-EN-ISO/IEC 27002:2017 zu Ende gehen. Natürlich gibt es eine Übergangszeit, in der sowohl die alten als auch die neuen Normen gültig sind. Dies gibt den Organisationen die Möglichkeit, die Regeln der neuen Norm in ihre Informationssicherheitssysteme (ISMS) zu integrieren.
Diese Übergangsfrist erstreckt sich über drei Jahre, d. h. alle bestehenden Zertifikate müssen bis zum 1. November 2025 auf die neue Version umgestellt werden.
Ein neuer Name für die Norm ISO 27001:2022 / ISO27001:2023
In den letzten Jahren gab es erhebliche Entwicklungen im Bereich der Cybersicherheit und des Schutzes der Privatsphäre. Dies sind wichtige Säulen, die unter die Informationssicherheit fallen. Daher sind diese Begriffe in die Beschreibung der ISO-Norm 27001 aufgenommen worden. Damit ist sichergestellt, dass die Bezeichnung dieser ISO-Norm allumfassend ist, wenn es um die Informationssicherheit geht.
- Alter Name: Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen
- Neuer Name: Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Managementsystem für Informationssicherheit - Anforderungen
Neben einem neuen Namen wurden auch einige Änderungen an der HLS (High Level Structure) vorgenommen. HLS ist die einheitliche Art und Weise, die für den Aufbau von Managementsystemnormen festgelegt wurde. ISO 27001:2022 wurde an die neue HS (Harmonisierte Struktur) angepasst, die die neue Grundstruktur der ISO-Norm darstellt. Diese Änderungen sorgen für eine bessere Abstimmung mit dem Annex SL. Mehrere Punkte in den Kapiteln 4 bis 10 wurden gestrafft, hinzugefügt, umgeschrieben oder aufgeteilt. Dies sind die Änderungen:
- 4.1 Kontext verschärft
- 4.2 Stakeholder gestärkt
- 4.4 ISMS verschärft
- 6.1.3 Verschärfte Risikobehandlung
- 6.2 Zielvorgaben verschärft
- 6.3 Änderungsmanagement hinzugefügt
- 8.1 Die betriebliche Planung wurde umgeschrieben
- 9.1 Verschärfte Überwachung
- 9.2 Allgemeines und Prüfungsprogramm ist aufgeteilt
- 9.3 Allgemeines, Eingangs- und Ausgangssplit
- 10.1 Verbesserung und Abweichungen & Korrekturmaßnahmen wurde aktualisiert
ISO 27001: von 14 auf 4 Kapitel
Der Anhang A der ISO 27001-Norm ist geändert worden. Im Wesentlichen wurden die verschiedenen Kapitel und Kontrollmaßnahmen neu geordnet und zusammengeführt. Dies bringt mehr Übersicht, da die Anzahl der Kapitel zusammengelegt und von 14 auf 4 gekürzt wurde.
- A5 - Organisatorische Kontrollmaßnahmen: In diesem Abschnitt sind alle Managementmaßnahmen zusammengefasst, die nicht unter man, physische Sicherheit oder Technik fallen. Er umfasst 37 Maßnahmen.
- A6 - Menschenbezogene Managementmaßnahmen: Dieser Abschnitt umfasst alle Managementmaßnahmen, die sich mit Menschen befassen. Denken Sie an: Bewusstsein und Arbeitsbedingungen. Er umfasst 8 Maßnahmen.
- A7 - Physische Managementmaßnahmen: In diesem Abschnitt geht es um alle Maßnahmen, die sich mit der physischen Sicherheit von Standorten und z. B. der Wartung von Geräten befassen. In diesem Abschnitt finden Sie 14 Maßnahmen.
- A8 - Technologische Managementmaßnahmen: Dieser Abschnitt befasst sich mit allen technologischen Maßnahmen. Denken Sie an die Sicherheit Ihres Netzes und Ihrer Informationsverarbeitungssysteme oder daran, wie Ihr technisches Personal sicher arbeitet. Hier finden Sie 34 Maßnahmen.
Managementmaßnahmen der ISO 27001
Die alte Norm ISO 27001:2013 enthielt 114 Kontrollmaßnahmen. Eine beachtliche Liste, die in ISO 27001:2022 gekürzt wurde. Es gibt jetzt 93 Managementmaßnahmen. Die ISO beschloss, viele Maßnahmen zusammenzulegen, um die Norm zeitgemäß zu gestalten. Allerdings hat die ISO 11 neue Managementmaßnahmen hinzugefügt.
- 5.7 - Informationen und Analyse von Bedrohungen:
Informationen über Bedrohungen der Informationssicherheit sollten gesammelt und analysiert werden, um Erkenntnisse über Bedrohungen zu gewinnen. - 5.23 - Informationssicherheit bei der Nutzung von Cloud-Diensten:
Die Verfahren für den Erwerb, die Nutzung, die Verwaltung und die Beendigung von Cloud-Diensten sollten in Übereinstimmung mit den Informationssicherheitsanforderungen der Organisation festgelegt werden. - 5.30 - IKT-Bereitschaft für die Geschäftskontinuität:
Die IKT-Bereitschaft sollte auf der Grundlage von Geschäftskontinuitätszielen und IKT-Kontinuitätsanforderungen geplant, umgesetzt, aufrechterhalten und getestet werden. - 7.4 - Überwachung der physischen Sicherheit:
Das Gebäude und das Gelände sollten ständig auf unbefugten physischen Zugang überwacht werden. - 8.9 - Konfigurationsmanagement:
Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzen sollten ermittelt, dokumentiert, umgesetzt, überwacht und überprüft werden. - 8.10 - Löschung von Informationen:
In Informationssystemen, Geräten oder anderen Speichermedien gespeicherte Informationen sollten gelöscht werden, wenn sie nicht mehr benötigt werden. - 8.11 - Maskierung von Daten:
Die Daten sollten in Übereinstimmung mit der fachspezifischen Sicherheitspolitik für den Zugang und anderen damit verbundenen fachspezifischen Richtlinien sowie den geschäftlichen Anforderungen der Organisation maskiert werden, wobei die geltenden Rechtsvorschriften zu berücksichtigen sind. - 8.12 - Verhinderung von Datenlecks:
Es sollten Maßnahmen zur Verhinderung von Datenlecks in Systemen, Netzen und anderen Geräten getroffen werden, auf denen oder über die sensible Informationen verarbeitet, gespeichert oder transportiert werden. - 8.16 - Überwachungstätigkeiten:
Netze, Systeme und Anwendungen sollten auf anomales Verhalten hin überwacht werden, und es sollten geeignete Maßnahmen ergriffen werden, um potenziellen Vorfällen im Bereich der Informationssicherheit zu begegnen.
bewerten. - 8.23 - Anwendung von Webfiltern:
Der Zugang zu externen Websites sollte so verwaltet werden, dass die Gefährdung durch bösartige Inhalte begrenzt wird. - 8.28 - Sichere Kodierung:
Bei der Softwareentwicklung sollten die Grundsätze der sicheren Kodierung angewandt werden.
Was bedeutet das für NEN 7510 oder BIO?
Inwieweit wirken sich diese Änderungen der ISO 27001 auf NEN 7510 oder BIO aus? Wenn die grundlegenden Managementmaßnahmen geändert werden, müssen auch NEN 7510 und BIO angepasst werden. Der Grund dafür ist, dass NEN 7510 und BIO aus zusätzlichen Kontrollmaßnahmen bestehen, die dem Anhang A der ISO 27001 hinzugefügt wurden. Die NEN 7510 wird voraussichtlich im Jahr 2024 auf der Grundlage der Fassung von 2023 aktualisiert. Unser Rat? Warten Sie mit einer Umstellung, bis diese Normen aktualisiert sind.
Sehen Sie sich die Fristen für die Umstellung auf ISO 27001:2022 an
Es gilt eine Übergangsfrist, d. h. Ihr ISMS kann für einen bestimmten Zeitraum nach der alten Version der Norm bewertet werden. Die folgende Tabelle zeigt, ab wann Sie nach der neuen Norm ISO 27001:2022 bewertet werden und bis wann Sie noch nach der alten Version der Norm bewertet werden können.
Bis zum 31. Oktober 2023 können sich Unternehmen noch nach ISO 27001:2013 zertifizieren lassen. Sie haben jedoch bis zum 31. Oktober 2025 Zeit, zu ISO 27001:2022 zu wechseln.
Blau = DigiTrust kann und darf Ihr ISMS noch nach der alten Version der Norm prüfen.
Grün = DigiTrust muss Ihr ISMS nach der neuen Norm ISO27001:2022 einrichten.
Planen Sie rechtzeitig Ihr Übergangsaudit für ISO 27001:2022
Als Organisation müssen Sie den Übergang von ISO 27001:2013 zu ISO 27001:2022 vollziehen. Die aktualisierten Regeln sind in IAF MD26:2022 zu finden. In diesem Dokument sind alle obligatorischen Änderungen aufgeführt, die zur Einhaltung der neuen Norm umgesetzt werden müssen. Wenn Ihre Organisation die neue Situation erfüllt, empfehlen wir, ein Übergangsaudit zu planen. Dieses findet oft 2 Wochen vor dem regulären Audit statt. Das Übergangsaudit umfasst die folgenden Punkte:
- GAP-Analyse
- Aktionsplan
- Risikoanalyse und Behandlungsplan anpassen
- Anhang A Anpassung der Verwaltungsmaßnahmen
- VVT-Einstellung
- Internes Audit
- Management-Review
Es ist wichtig, dass Sie sich auf diese Themen vorbereitet haben und einen Nachweis erbringen können. Im Falle einer Rezertifizierung führt der DigiTrust-Auditor ein vierstündiges Fernaudit mit Ihnen und Ihrem CISO-Berater durch. Wenn Ihre Organisation die Norm erfüllt, wird DigiTrust Ihr neues ISO 27001:2022-Zertifikat vorbereiten.
Tipp: Ihre Übergangsprüfung rechtzeitig zu planen mit unserem Back-Office. Der Terminkalender Ihres Prüfers ist im Jahr 2024 bereits sehr voll. Warten Sie nicht zu lange und stellen Sie sicher, dass alles innerhalb des gewünschten Zeitrahmens stattfinden kann.
