Am 25. Oktober 2022 wurde der neue Bewertungsrahmen für Informationssicherheit, die ISO/IEC 27001:2022 unter dem neuen Titel „Information Security, Cybersecurity and Privacy Protection“ veröffentlicht. Damit korrespondiert die ISO 27001 wieder mit dem Leitfaden ISO 27002 und entspricht dem Stand der Technik.
„Ein Informationssicherheits-Managementsystem (ISMS) hilft Unternehmen jeder Größe, sich gegen Cyberangriffe und andere böswillige Datenmanipulationen effektiv zu schützen. Mit einer ISO/IEC 27001-Zertifizierung stärken Unternehmen ihren Schutz vor Cyberangriffen und beugen dem Verlust sensibler Informationen vor“, sagt Elmar Stark, Bereichsleiter Managementsysteme und Teamleiter Informationssicherheit bei TÜV Hessen.
Der Standard ISO/IEC 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme (ISMS) und damit auch für die Cybersicherheit. Nach einer Überarbeitung im Oktober 2022 löst die neue ISO/IEC 27001:2022 die bisher geltende ISO/IEC 27001:2013 ab. Dadurch erhält die Sicherheitsnorm eine lange erwartete Anpassung bei Maßnahmen zu IT-Sicherheit, Datenschutz sowie konkrete Maßnahmen zur Cloudsicherheit.
Die wichtigsten Änderungen
- High Level Structure (HLS) wird zur Harmonized Structure (HS): Mit der Harmonized Structure wird mit Hilfe der ISO 27001 der Grundstein gelegt, um künftige ISO-Managementsystemnormen noch weiter zu harmonisieren. So gibt einige Ergänzungen und Streichungen sowie Klarstellungen gegenüber der Vorgänger-Norm.
- Insbesondere wird im Abschnitt 6.3 präzisiert, dass Änderungen an Informationssicherheitsmanagementsystemen mit allen ihren Abhängigkeiten und Wirkungen geplant und damit beherrscht umzusetzen sind – so beispielsweise auch anzuwenden bei der Umstellung auf die neue Norm.
- Maßnahmen, die auf die aktuelle Organisation und ihre Bedrohungen abgestimmt sind: Während die alte Version noch 114 Maßnahmen enthielt – gegliedert in 14 Bereiche – ist die neue Version, mit 93 Maßnahmen über vier Bereiche deutlich übersichtlicher:
Auch die Themen Cloud-Nutzung sowie die Anforderungen an Business Continuity Management (BCM – ISO 22301) wurden geschärft.
[Anmerkung: Auch hierfür ist TÜV Hessen bei der DAkkS akkreditiert].
Ferner wurde die „Privacy Protection“ mit einbezogen. D.h., hier sind zusätzliche Maßnahmen zu betrachten und zu realisieren.
Wechselwirkungen mit anderen NormenInfolge der Änderungen der Norm ISO 27001 sind auch die mit ihr assoziierten Normen ISO 27017 für Cloud-Dienste und ISO 27018 zum Schutz personenbezogener Daten in öffentlichen Cloud-Diensten zu überprüfen und zu überarbeiten.
Notwendige Maßnahmen aus Kundensicht zur Umstellung auf ISO/IEC 27001:2022-10
Der Kunde hat dafür Sorge zu tragen, dass die Anforderungen der ISO/IEC 27001:2022-10 erfüllt werden. Hierzu ist das ISMS und die umgesetzten Maßnahmen entsprechend zu prüfen. Dabei sind konkret folgende Tätigkeiten notwendig:
1) Durchführung einer GAP-Analyse
2) Ermittlung der Änderungsnotwendigkeiten am ISMS
3) Aktualisierung der Erklärung zur Anwendbarkeit
4) Aktualisierung des Risikobehandlungsplans (sofern erforderlich)
5) Durchführung aller notwendigen Änderungen
6) Übersendung der obigen Informationen an die Zertifizierungsstelle von
TÜV Hessen zur Ermittlung des Auditaufwands in Vorbereitung des anstehenden Audits
Umstellung bis Ende Oktober 2025
Die Übergangsfrist für bestehende ISO 27001-Zertifikate beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats der neuen ISO/IEC 27001:2022 (Oktober 2022). Das heißt, alle Zertifikate nach ISO/IEC 27001:2013 beziehungsweise DIN EN ISO/IEC 27001:2017 müssen bis zum 31. Oktober 2025 auf die neue Version ISO 27001 aus 2022 umgestellt sein.
Erstzertifizierungen müssen ab dem 30.04.2024 gemäß der neuen Norm ISO/IEC 27001:2022 durchgeführt werden.
Die früheste Umstellung von Zertifikaten durch die Konformitätsbewertungsstellen, wie der TÜV Hessen eine ist, kann erfolgen, wenn diese nach der neuen Norm akkreditiert sind. Dieses wird dadurch bestimmt, wann die Deutsche Akkreditierungsstelle (DAkkS) die dazugehörige Begutachtung bei TÜV Hessen durchführen kann. Den dazu notwendigen Antrag hat TÜV Hessen bereits im Januar 2023 bei der DAkkS eingereicht.