So gelingt der Umstieg von ISO 27001:2013 auf 27001:2022

Kun­den, die ein zer­ti­fi­zier­tes ISMS nach ISO 27001:2013 im Ein­satz haben, sind ange­hal­ten im Zuge eines Über­wa­chungs­au­dits oder einer Re-Zer­ti­fi­zie­rung auf die neue Fas­sung 27001:2022 umzu­stei­gen. In den fol­gen­den Arti­kel möch­ten wir Sie nicht über Fris­ten infor­mie­ren, son­dern wie Sie den Umstieg als Pro­jekt erfolg­reich pla­nen und mög­lichst ohne Abwei­chun­gen im Audit nach­wei­sen können.

Die wich­tigs­ten Ände­run­gen der ISO/IEC 27001:2022 im Ver­gleich zur ISO/IEC 27001:2013 sind:

1. Der Anhang A ver­weist auf die Infor­ma­ti­ons­si­cher­heits­kon­trol­len in ISO/IEC 27002:2022 und beinhal­tet 11 neue Kon­troll­ti­tel und Kon­troll­be­schrei­bun­gen.
2. Hin­zu­fü­gung eines neu­en Punk­tes 4.2 c) wel­che die­ser Anfor­de­run­gen [der inter­es­sier­ten Par­tei­en] wer­den durch das Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem (ISMS) adressiert.
3. Hin­zu­fü­gung einer For­mu­lie­rung bezüg­lich Pro­zes­se zu Punkt 4.4: Die Orga­ni­sa­ti­on muss in Über­ein­stim­mung mit den Anfor­de­run­gen der Norm ein Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tem ein­rich­ten, umset­zen, auf­recht­erhal­ten und kon­ti­nu­ier­lich ver­bes­sern, ein­schließ­lich der erfor­der­li­chen Pro­zes­se und ihrer Wech­sel­wir­kun­gen.
4. Die Anmer­kun­gen des Abschnitts 6.1.3 c) wur­den redak­tio­nell über­ar­bei­tet, ein­schließ­lich der Strei­chung der Kon­troll­zie­le und die Ver­wen­dung von “Infor­ma­ti­ons­si­cher­heits­kon­trol­le” anstel­le von “Kon­trol­le”.
5. Der Wort­laut des Abschnitts 6.1.3 d) wird neu geord­net, um mög­li­che Zwei­deu­tig­keit zu beseitigen.
6. Hin­zu­fü­gung eines neu­en Unter­ab­schnitts 6.3 — Pla­nung von Ände­run­gen, in dem fest­ge­legt wird, dass die Ände­run­gen am ISMS von der Orga­ni­sa­ti­on in geplan­ter Wei­se durch­ge­führt werden.
7. Bei­be­hal­tung der Kon­sis­tenz des Verbs, das im Zusam­men­hang mit doku­men­tier­ten Infor­ma­tio­nen ver­wen­det wird, z. B. “Doku­men­tier­te Infor­ma­tio­nen müs­sen als Nach­weis für …” in den Abschnit­ten 9.1, 9.2.2, 9.3.3 und 10.2.
8. Ver­wen­dung von “extern bereit­ge­stell­te Pro­zes­se, Pro­duk­te oder Dienst­leis­tun­gen” anstel­le von “aus­ge­la­ger­te Pro­zes­se” in Klau­sel 8.1 und Strei­chung des Begriffs “aus­la­gern”.
9. Umbe­nen­nung und Neu­ord­nung der Unter­ab­schnit­te in den Abschnit­ten 9.2 — Inter­ne Audits und 9.3 Management-Review.
10. Aus­tausch der Rei­hen­fol­ge der bei­den Unter­klau­seln in Klau­sel 10 — Verbesserung.
11. Aktua­li­sie­rung der Aus­ga­be der in den Refe­ren­zen auf­ge­führ­ten ver­wand­ten Doku­men­te, wie ISO/IEC 27002 und ISO 31000.
12. Eini­ge Abwei­chun­gen in ISO/IEC 27001:2013 von der High-Level-Struk­tur, iden­ti­scher Kern­text, gemein­sa­me Begrif­fe und Kern­de­fi­ni­tio­nen des Manage­ment­sys­tems wur­den über­ar­bei­tet, um mit der har­mo­ni­sier­ten Struk­tur für Manage­ment­sys­te­me über­ein­zu­stim­men, z. B. Klau­sel 6.2 d).

Im Zuge einer GAP-Ana­ly­se durch Ihren Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten / CISO oder durch einen exter­nen Bera­ter kön­nen wir die Punk­te bewer­ten, die Sie heu­te noch nicht adres­siert haben. Als klei­ner Hin­weis, die Neue­run­gen der ISO 27001:2022 im Anhang A:

Der Wech­sel auf die neue ISO 27001:2022 stellt eine wesent­li­che Ände­rung für das ISMS dar und ist als sicher­heits­re­le­van­te Ände­rung vom Chan­ge-Advi­so­ry-Board (CAB) zu prü­fen und geplant umzu­set­zen. Bit­te bewah­ren Sie den Beschluss des CAB als Mee­ting­pro­to­koll auf und füh­ren Sie das Migra­ti­ons­pro­jekt ent­spre­chend der doku­men­tier­ten Vor­ga­ben für Unternehmensprojekte.

Aktua­li­sie­ren Sie beim Wech­sel auf ISO 27001:2022 Ihr Risi­ko-Assess­ment und berück­sich­ti­gen Sie spe­zi­ell auch die neu­en Anfor­de­run­gen vom Anhang A (A5.23, A5.30, A7.4, A8.9, A8.10, A8.11, A8.12, A8.16, A8.23 und A8.28) in den resul­tie­ren­den Maßnahmen.

Die Anwend­bar­keits­er­klä­rung (State­ment of Appli­ca­bi­li­ty, SoA) muss aktua­li­siert wer­den, die neue Struk­tur des Anhang A voll­stän­dig abzudecken.

Im Zuge des Wech­sels auf ISO 27001:2022 emp­feh­len wir den Risi­ko-Behand­lung Plan anzupassen.

Im Kapi­tel 7.2 Kom­pe­ten­zen müs­sen Sie die neu­en Kom­pe­ten­zen ergän­zen, die durch neue Anfor­de­run­gen des Anhang A, z.B. A8.28 Siche­re Pro­gram­mie­rung, ent­stan­den sind.

Die 11 neu­en Anfor­de­run­gen vom Anhang A müs­sen in den Info­Sec Richt­li­ni­en defi­niert wer­den und im Betrieb umge­setzt wer­den. Als CISO soll­ten Sie eine Wirk­sam­keits­prü­fung vor oder im Zuge des inter­nen Audits durchführen.

Für das Kapi­tel 9.2 Inter­ne Audits muss das Audit­pro­gramm auf die neue Struk­tur des Anhang A und die neu­en Anfor­de­run­gen ange­passt werden.