Die neue ISO 27001:2022 – Änderungen

Quick facts

Neuer Titel

“Information security,
cybersecurity and
privacy protection
— Information security management systems —
Requirements”

Anhang A

114
Anzahl der Controls wurde reduziert

Anhang A

0
11 neue Maßnahmen

Vier Abschnitte

0
Vier Abschnitte

Die neue ISO 27001:2022 – Änderungen

Stellenwert der Informationssicherheit

Unternehmen jeglicher Größe und Branche sind Angriffen durch unterschiedlich motivierte Angreifer ausgesetzt. Daher ist es wichtiger denn je, dass interne Informationen und Geschäftsgeheimnisse durch den höchsten Stand der Sicherheit geschützt werden. Die Vertraulichkeit, Integrität und Verfügbarkeit solcher Informationen sind ein entscheidender Faktor für das Vertrauen von Kunden, Geschäftspartnern und der Öffentlichkeit. Das Management solcher Herausforderungen sollte zum Alltag jedes Unternehmens gehören. Die Umsetzung von Informationssicherheitsmaßnahmen und sogar die Zertifizierung nach international anerkannten Standards und Normen wie der ISO/IEC 27001 kann dabei helfen. Diese Norm helfen dabei Maßnahmen zu bestimmen, die die Informationssicherheit auf das gewünschte Niveau bringen.

Worum geht es in diesem Beitrag?

Die internationale Norm ISO 27001 wurde überarbeitet und unterzog sich wichtigen Verbesserungen. Das Internation Accreditation Forum (IAF) veröffentlichte Oktober 2022 die neue und verbesserte ISO/IEC 27001:2022, die die bisherige ISO 27001:2013 ablöst. In diesem Artikel erfahren Sie mehr über die wichtigsten Änderungen, Besonderheiten und Herausforderungen, die neue ISO 27001:20022 mit sich bringt.

Der jüngste Update der ISO 27002 erfordert auch eine Aktualisierung der ISO/IEC 27001. Im Einzelnen sind hier der Abschnitt 6.1.3 „Information Security Risk Treatment“ Abschnitt c, der auf die Anwendung von Anhang A verweist, sowie Anhang A selbst, in dem die Best-Practice-Maßnahmen aus der ISO/IEC 27002 aufgeführt sind, zu erneuern.

Titeländerung

Die neue ISO 27001:2022 heißt nach der Änderung nicht mehr “Information technology – Security techniques – Information security management systems – Requirements”, sondern "Information security, cybersecurity and privacy protection — Information security management systems — Requirements". Der Datenschutz, “privacy protection”, gehört nun offiziell zum Titel der Norm.

ISO/IEC 27001:2013(17)ISO/IEC 27001:2022
Information technology – Security techniques – Information security management systems – RequirementsInformation security, cybersecurity and privacy protection — Information security management systems — Requirements

Aktualisierte Controls

Eine der wichtigesten Änderungen in der ISO 27001:2022 fand im Anhang A statt.

Die Anzahl der im Anhang A aufgeführten Maßnahmen („Controls“) wurde von 114 auf 93 reduziert. Diese werden nun in vier statt wie bisher in 14 Abschnitte unterteilt.

Vier Abschnitte

  • Organizational Controls (37 Maßnahmen),
  • People Controls (8 Maßnahmen),
  • Physical Controls (14 Maßnahmen) und
  • Technological Controls (34 Maßnahmen).

Des Weiteren wurden elf neue Maßnahmen hinzugefügt:

  • A.5.7 Threat intelligence,
  • A.5.23 Information security for use of cloud services,
  • A.5.30 ICT readiness for business continuity,
  • A.7.4 Physical security monitoring,
  • A.8.9 Configuration management,
  • A.8.10 Information deletion,
  • A.8.11 Data masking,
  • A.8.12 Data leakage prevention,
  • A.8.16 Monitoring activities,
  • A.8.23 Web filtering und
  • A.8.28 Secure coding.

Jede Maßnahme wird zudem in fünf verschiedene Attribute eingestuft:

  • Controlltyp,
  • Eigenschaft der Informationssicherheit,
  • Cybersicherheitskonzepte,
  • Operative Fähigkeiten und
  • Sicherheitsdomänen.

Informations­sicherheits­risiken

Die längst überfällige Definitionskonkretisierung der “Informationssicherheitsrisiken” wurde im Abschnitt 6.1.3 “Information Security Risk Treatment” vorgenommen.

In den Anmerkungen “NOTES” zu 6.1.3.c) wurde die Formulierung “control objectives” gestrichen. Die Anmerkung, dass es sich bei den Maßnahmen in Anhang A lediglich um eine Liste “möglicher” Maßnahmen handelt – "Annex A contains a list of possible information security contorls" und die Anmerkung, dass diese Liste nicht abschließend ist – "controls listed in Annex A are not exhaustive" – verdeutlichen es nun hoffentlich jedem Anwender, dass die Maßnahmen auf Basis der Risikoanalyse bestimmt werden müssen. Nicht andersherum.

Die Risikoanalyse dient folglich der Evaluierung notweniger Maßnahmen. Die hierbei abgeleiteten Maßnahmen MÜSSEN ("shall") mit den Maßnahmen aus dem Anhang A abgeglichen werden. Diese Anforderung trägt einen normativen Charakter (verbindlich).

"The organization shall define and apply an information security risk treatment process to: [...] compare the controls [...] with those in Annex A and verify that no necessary controls have been omitted;".

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Newsletter