Frankfurt, 31.10.2022: Die neue ISO 27001:2022 ist veröffentlicht

Die ISO 27001:2022-10 ist die neue Ausgabe der Norm für Informationssicherheitsmanagementsysteme (ISMS) und ersetzt die Version ISO 27001:2013. Eine wesentliche Neuerung liegt bereits im Namen der neuen Fassung: Im Titel der ISO 27001:2022 „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme“ ist außer dem ebenfalls neu aufgenommenen Begriff der „Cybersecurity“ jetzt auch der Begriff „Datenschutz“ enthalten.

Insgesamt lassen sich die wesentlichen Änderungen wie folgt strukturieren:

1. Änderungen mit Bezug auf die Umsetzung der neuen „Harmonized Structure“ für alle Managementsystem-Normen
2. Inhaltliche Änderungen mit konkretem Bezug auf das Informationssicherheitsmanagement innerhalb der normativen Anforderungen der Kapitel 4 bis 10
3. Komplette Überarbeitung des Annex A mit den Controls (Informationssicherheitsmaßnahmen)

Die wesentlichen Änderungen mit Bezug auf die neue Harmonized Structure können Sie hier entnehmen, diese Anforderungen sind entsprechend in der neuen ISO 27001:2022 enthalten.
Die inhaltlichen Änderungen der ISO 27001:2022 liegen in der stärkeren Fokussierung auf die Prozessorientierung bzw. die stärkere Integration von Informationssicherheit und Datenschutz in die Geschäftsprozesse sowie in verschiedenen eher geringfügigen Änderungen, Klarstellungen und Präzisierungen der bestehenden Anforderungen.
Der Annex A wurde jedoch - wie bereits oben aufgeführt – im Grunde komplett überarbeitet, sowohl von der Struktur her als auch inhaltlich: So umfasste der Anhang A bislang in der Summe 114 Controls, die in 14 Abschnitten gegliedert zur Behandlung von Informationssicherheitsrisiken herangezogen werden konnten. Aus den vormals 14 Abschnitten wurden jetzt diese 4 Bereiche:

A.5       Organisatorische Maßnahmen (37 Controls)
A.6       Personenbezogene Maßnahmen (8 Controls)
A.7       Physische Maßnahmen (14 Controls)
A.8       Technische Maßnahmen (34 Controls)

Somit umfasst der Annex A der neuen ISO 27001:2022 jetzt insgesamt 93 Controls, von denen die hier aufgeführten Controls neu eingeführt wurden:

A.5.7         Bedrohungsintelligenz
A.5.23       Informationssicherheit für die Nutzung von Cloud-Diensten
A.5.30       IKT-Bereitschaft für Business Continuity
A.7.4         Physische Sicherheitsüberwachung
A.8.9         Konfigurationsmanagement
A.8.10       Löschung von Informationen
A.8.11       Datenmaskierung
A.8.12       Verhinderung von Datenlecks
A.8.16       Überwachung von Aktivitäten
A.8.23       Webfilterung
A.8.28       Sicheres Coding

Aktuell ist nur die englische Fassung der ISO 27001:2022-10 verfügbar, die deutsche Fassung lässt wohl noch eine Weile auf sich warten: Beim Beuth-Verlag ist Stand 01.03.2023 die deutsche und englische Fassung der ISO 27001:2022 nur als „prEN ISO/IEC 27001:2023“ in der Ausgabe 2023-04 vorbestellbar. Die prEN soll am 17.03.2023 veröffentlicht werden, die Frist zur Stellungnahme läuft dann bis zum 17.05.2023. Was heißt das für Unternehmen, die bereits nach ISO 27001:2013 zertifiziert sind und die das „deutsche“ Regelwerk der ISO 27001:2022 als Grundlage für ihre Zertifizierung nutzen möchten? Vor allem dies: Aufgepasst mit den Übergangsfristen, denn diese beginnen bereits mit dem Erscheinen der ISO 27001:2022 am 26.10.2022 zu laufen, d.h. spätestens per Ende Oktober 2025 muss die Umstellung erfolgt sein...