Namensänderung
Die ISO 27001:2022 ist im Oktober unter dem Namen Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen erschienen. Im Vergleich zum alten Namen Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen wird die neue (und auch Zeitgemäße) Ausrichtung klar. Diese bezieht Themen wie Cybersicherheit und Privacy mit ein und gestaltet die Norm somit deutlich Moderner und an die aktuelle Cyber-Bedrohungslage angepasst.
Strukturelle Änderung
Die auch aus anderen ISO- Managementsystemnormen bekannte High-Level-Struktur (HLS) wurde durch ein Updates 2021 in die Harmonisierten Struktur (HS) unbenannt. Die ISO 27001:2022 ist eine der ersten Managementsystemnormen welche an die HS angepasst wurde. In Zukunft werden alle Managementsystemnormen an die HS angepasst.
Managementsystem
Am Managementsystem selbst gab es keine fundamentalen Änderungen. Einige Anforderungen wurden klarer Formuliert oder erweitert bzw. an die neue HS angepasst. Der Schwerpunkt der Änderungen liegt auf dem neu gestalteten Annex-A sowie den elf neuen Maßnahmen.
Annex A
Die Maßnahmen sind nun in vier Themenblöcke untergliedert welche jetzt insgesamt 93 Maßnahmen enthalten. Hierrunter wurden die alten 114 Maßnahmen (bis auf 11.2.5 Removal of assets) sinnvoll zusammengefasst und elf neue hinzugefügt. Zwar erhöht sich so insgesamt der Aufwand durch die neuen Maßnahmen, dennoch stellen diese eine wichtige Ergänzung und eine Anpassung an die aktuellen Rahmenbedingungen dar. Beispielsweise wird das Thema stärker Cloud mehr fokussiert, welches für Unternehmen heute ein deutlich wichtigeres Thema als 2013 noch war.
Was müssen Unternehmen jetzt tun?
Für ISO 27001 zertifizierte Unternehmen bedeutet die neue Norm, dass diese sich bis zum 31.10.2025 an den neuen Standard anpassen müssen. Eine Zertifizierung nach dem alten Standard ist noch bis 31.10.2023 möglich.
Unternehmen, welche ein Update Ihrer Zertifizierung durchführen lassen wollen sollten bedenken, dass alleine mit der Umsetzung der 11 neuen Maßnahmen nicht ausreicht. Es müssen auch Änderungen in bekannten Maßnahmen beachtet werden.
Unternehmen, welche ein Update Ihrer Zertifizierung durchführen lassen wollen können das mit dem nächsten Audit machen. Allerdings sollten diese bedenken, dass alleine mit der Umsetzung der 11 neuen Maßnahmen es nicht getan ist. Es müssen auch Änderungen in bekannten Maßnahmen beachtet werden.
Fazit
Das Update der ISO 27001 ist eine zeitgemäße Anpassung zum einen an die aktuelle Bedrohungslage, aber auch an die veränderten Technologien wie die Cloudnutzung. Durch die Änderung ist der Umfang weiter angestiegen.
Auch die ISO 27002, welche den Annex A der ISO 27001 genauer aufschlüsselt wurde Analog erneuert und umstrukturiert. Dieser wirkt sauber und übersichtlich gestaltet.