Best Practices für Informationssicherheit – die neue ISO/IEC 27001:2022
DER internationale Standard für Informationssicherheit – ISO/IEC 27001 – ist in einer neuen Auflage erschienen. Wir fassen zusammen, was sich ändert und wie Sie auf die neue Norm reagieren sollten.
Endlich: Die mit Spannung erwartete Überarbeitung der Norm ISO/IEC 27001 für den Aufbau, den Betrieb und die Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS) wurde veröffentlicht. Und die Änderungen beginnen schon beim Namen: „Informationstechnik – IT-Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen“ wurde erweiternd zu „Informationssicherheit – Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“. Gleichzeitig gibt es signifikante Anpassungen sowohl in den Hauptkapiteln als auch im Anhang A. Welche dies konkret sind und wie sich die Neuauflage auswirkt, finden sie in diesem Beitrag.
Änderungen in den Hauptkapiteln
Die Kapitel 4 bis 10 sind der Kern (das Herzstück) der Norm, sie unterstützen beim Aufbau, der Aufrechterhaltung und stetigen Verbesserung des ISMS – deshalb sind die Anpassungen dort von besonderer Relevanz. Als erstes ist festzustellen, dass die Struktur der Hauptkapitel auf die neue ‚Harmonized Structure‘, die für alle ISO-Managementsystem-Standards gleichermaßen gilt, umgestellt wurde. Aber auch innerhalb der Kapitel gab es Überarbeitungen an den Anforderungen.
Folgende Änderungen haben aus meiner Sicht den größten Einfluss auf Ihr bestehendes ISMS:
- Kapitel 4: Ab sofort werden Prozesse klar als eigene Bestandteile des ISMS erwähnt. Sie müssen somit eindeutig beschrieben und dokumentiert werden.
- Kapitel 6: In der neuen Norm ist fortan gefordert, dass Änderungen am ISMS geplant umgesetzt werden müssen und somit ein spezifischer Change-Management-Prozess für das ISMS etabliert (und dokumentiert) ist.
Änderungen an Anhang A
Im Gegensatz zum Herzstück beinhaltet Anhang A spezifische organisatorische, personenbezogene, physische und technologische Maßnahmen. Die Anpassungen hier konnten bereits durch die Veröffentlichung der neuen ISO/IEC 27002:2022 erahnt werden (lesen Sie hierzu unseren Beitrag: ISO/IEC 27002:2022 – Anti-Aging für das ISMS). Kurz: Die Anzahl der Maßnahmen wurde von 114 auf 93 reduziert, welche nun in vier statt in 14 Abschnitte unterteilt sind. Es wurden elf neue Maßnahmen hinzugefügt und die bestehenden angepasst. Diese sind teilweise zusammengefasst und vereinfacht worden. Benötigen Sie eine Kreuztabelle mit allen Änderungen im Detailvergleich? Gerne stelle ich Ihnen diese auf Anfrage über mein Autorenprofil zur Verfügung.
Umsetzung
Zur Umsetzung der neuen Anforderungen empfehlen wir Ihnen unsere APK-Vorgehensweise:
- Analysieren Sie die Änderungen im Detail und gleichen Sie diese mit ihrem aktuellen System ab (Gap-Analyse).
- Priorisieren Sie die identifizierten Abweichungen in einem Maßnahmenplan und setzen Sie diesen Schritt für Schritt um.
- Kontrollieren Sie die Umsetzung und nehmen bei Bedarf weitere Änderungen vor.
Zeitlicher Horizont
Die ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht; es besteht eine Übergangsfrist von drei Jahren. Das bedeutet, dass alle Unternehmen bis spätestens Oktober 2025 nach der neuen Norm zertifiziert sein müssen. Die oftmals übliche Taktik, sich mit diesen Änderungen erst im nächsten (oder gar im übernächsten) Jahr zu befassen, ist aus meiner Sicht nicht ratsam. Kümmern Sie sich frühzeitig um die neuen Anforderungen und Änderungen. Manche Anpassungen haben es auf Grund ihrer Anforderungstiefe in sich und können nicht innerhalb weniger Monate umgesetzt werden. Beginnen Sie daher mit einer Gap-Analyse und erstellen Sie einen Plan, um das nächste interne Audit bereits auf Basis der neuen Auflage vorzubereiten und durchzuführen.
Notwendigen Wandel jetzt anstoßen
Die Internationale Organisation für Normung (ISO) hat sich bereits mehr Zeit als üblich gelassen (im Normalfall erfolgt eine Aktualisierung im Fünfjahreszyklus) – und das ausgerechnet in einem Bereich, der sich ständig verändert. Aus meiner Sicht war die Neuauflage daher mehr als erforderlich. Um die Anpassungen am System noch ausreichend testen zu können und für das Rezertifizierungs-Audit optimal vorbereitet zu sein, brauchen zertifizierte Unternehmen jetzt (noch) nicht in Panik verfallen und um ihre Zertifizierung bangen. Aber sie sollten die Änderungen in ihren bestehenden kontinuierlichen Verbesserungsprozess einfließen lassen.
Quelle Titelbild: AdobeStock/lassedesignen