Kunden, die ein zertifiziertes ISMS nach ISO 27001:2013 im Einsatz haben, sind angehalten im Zuge eines Überwachungsaudits oder einer Re-Zertifizierung auf die neue Fassung 27001:2022 umzusteigen. In den folgenden Artikel möchten wir Sie nicht über Fristen informieren, sondern wie Sie den Umstieg als Projekt erfolgreich planen und möglichst ohne Abweichungen im Audit nachweisen können.
Die wichtigsten Änderungen der ISO 27001:2022
Die wichtigsten Änderungen der ISO/IEC 27001:2022 im Vergleich zur ISO/IEC 27001:2013 sind:
- Der Anhang A verweist auf die Informationssicherheitskontrollen in ISO/IEC 27002:2022 und beinhaltet 11 neue Kontrolltitel und Kontrollbeschreibungen.
- Hinzufügung eines neuen Punktes 4.2 c) welche dieser Anforderungen [der interessierten Parteien] werden durch das Informationssicherheitsmanagementsystem (ISMS) adressiert.
- Hinzufügung einer Formulierung bezüglich Prozesse zu Punkt 4.4: Die Organisation muss in Übereinstimmung mit den Anforderungen der Norm ein Informationssicherheits-Managementsystem einrichten, umsetzen, aufrechterhalten und kontinuierlich verbessern, einschließlich der erforderlichen Prozesse und ihrer Wechselwirkungen.
- Die Anmerkungen des Abschnitts 6.1.3 c) wurden redaktionell überarbeitet, einschließlich der Streichung der Kontrollziele und die Verwendung von “Informationssicherheitskontrolle” anstelle von “Kontrolle”.
- Der Wortlaut des Abschnitts 6.1.3 d) wird neu geordnet, um mögliche Zweideutigkeit zu beseitigen.
- Hinzufügung eines neuen Unterabschnitts 6.3 — Planung von Änderungen, in dem festgelegt wird, dass die Änderungen am ISMS von der Organisation in geplanter Weise durchgeführt werden.
- Beibehaltung der Konsistenz des Verbs, das im Zusammenhang mit dokumentierten Informationen verwendet wird, z. B. “Dokumentierte Informationen müssen als Nachweis für …” in den Abschnitten 9.1, 9.2.2, 9.3.3 und 10.2.
- Verwendung von “extern bereitgestellte Prozesse, Produkte oder Dienstleistungen” anstelle von “ausgelagerte Prozesse” in Klausel 8.1 und Streichung des Begriffs “auslagern”.
- Umbenennung und Neuordnung der Unterabschnitte in den Abschnitten 9.2 — Interne Audits und 9.3 Management-Review.
- Austausch der Reihenfolge der beiden Unterklauseln in Klausel 10 — Verbesserung.
- Aktualisierung der Ausgabe der in den Referenzen aufgeführten verwandten Dokumente, wie ISO/IEC 27002 und ISO 31000.
- Einige Abweichungen in ISO/IEC 27001:2013 von der High-Level-Struktur, identischer Kerntext, gemeinsame Begriffe und Kerndefinitionen des Managementsystems wurden überarbeitet, um mit der harmonisierten Struktur für Managementsysteme übereinzustimmen, z. B. Klausel 6.2 d).
Aufgabe #1 Durchführung einer GAP-Analyse zur ISO 27001:2022
Im Zuge einer GAP-Analyse durch Ihren Informationssicherheitsbeauftragten / CISO oder durch einen externen Berater können wir die Punkte bewerten, die Sie heute noch nicht adressiert haben. Als kleiner Hinweis, die Neuerungen der ISO 27001:2022 im Anhang A:
- Neu: A5.7 Informationen über Bedrohungen
- Neu: A5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten
- Neu: A5.30 IKT-Bereitschaft für die Geschäftskontinuität
- Neu: A7.4 Überwachung der physischen Sicherheit
- Neu: A8.9 Verwaltung der Konfigurationen
- Neu: A8.10 Löschung von Informationen
- Neu: A8.11 Maskierung von Daten
- Neu: A8.12 Verhinderung von Datenverlusten (DLP nicht Backup)
- Neu: A8.16 Überwachung der Aktivitäten
- Neu: A8.23 Web-Filterung
- Neu: A8.28 Sichere Programmierung
Aufgabe #2 Beschluss des Change-Advisory-Boards für das Migrationsprojekt
Der Wechsel auf die neue ISO 27001:2022 stellt eine wesentliche Änderung für das ISMS dar und ist als sicherheitsrelevante Änderung vom Change-Advisory-Board (CAB) zu prüfen und geplant umzusetzen. Bitte bewahren Sie den Beschluss des CAB als Meetingprotokoll auf und führen Sie das Migrationsprojekt entsprechend der dokumentierten Vorgaben für Unternehmensprojekte.
Aufgabe #3 Update es InfoSec Risiko-Assessments
Aktualisieren Sie beim Wechsel auf ISO 27001:2022 Ihr Risiko-Assessment und berücksichtigen Sie speziell auch die neuen Anforderungen vom Anhang A (A5.23, A5.30, A7.4, A8.9, A8.10, A8.11, A8.12, A8.16, A8.23 und A8.28) in den resultierenden Maßnahmen.
Aufgabe #4 Aktualisierung der Anwendbarkeitserklärung (SoA)
Die Anwendbarkeitserklärung (Statement of Applicability, SoA) muss aktualisiert werden, die neue Struktur des Anhang A vollständig abzudecken.
Aufgabe #5 Aktualisierung des Risiko-Behandlung Plans
Im Zuge des Wechsels auf ISO 27001:2022 empfehlen wir den Risiko-Behandlung Plan anzupassen.
Aufgabe #6 Ergänzung der Kompetenzmatrix
Im Kapitel 7.2 Kompetenzen müssen Sie die neuen Kompetenzen ergänzen, die durch neue Anforderungen des Anhang A, z.B. A8.28 Sichere Programmierung, entstanden sind.
Aufgabe #7 Implementierung und Wirksamkeitsprüfung der neuen Anforderungen des Anhang A
Die 11 neuen Anforderungen vom Anhang A müssen in den InfoSec Richtlinien definiert werden und im Betrieb umgesetzt werden. Als CISO sollten Sie eine Wirksamkeitsprüfung vor oder im Zuge des internen Audits durchführen.
Aufgabe #8 Anpassung des Auditprogramms
Für das Kapitel 9.2 Interne Audits muss das Auditprogramm auf die neue Struktur des Anhang A und die neuen Anforderungen angepasst werden.