Was ändert sich von ISO 27001:2013 zu ISO 27001:2022?
24/05/2023 By AmywrightDie ISO 27001, die Norm für Managementsysteme für Informationssicherheit, ist eine der am häufigsten implementierten Normenreihen und das aus gutem Grund: die Norm ist nicht nur äußerst umfassend, sondern auch branchenübergreifend akzeptiert und besonders anpassungsfähig.
Nach beinahe neun Jahren wurde Ende 2022 die revidierte Version der ISO 27001 veröffentlicht. Die Internationale Organisation für Normung (ISO) sieht eine Übergangsphase von drei Jahren vor. Für Normanwender bedeutet dies, dass bestehende Zertifikate bis Ablauf der Übergangsphase auf die neue ISO 27001:2022 umgestellt werden müssen.
Inzwischen liegt der vorläufige Normentwurf auch in deutscher Sprache vor. Der nachfolgende Artikel gibt einen Überblick über die Änderungen, die mit der aktualisierten Norm einhergehen.
Namensänderung
Der offizielle Titel der 2013 Version lautet: „DIN EN ISO/IEC 27001:2013, Informationstechnik – Sicherheitsverfahren – Informationssicherheits – Managementsysteme – Anforderungen“.
Demgegenüber lautet der Titel der 2022 Version: „DIN EN ISO/IEC 27001:2022, Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmanagementsysteme – Anforderungen.“
Diese Namensänderung spiegelt den Anspruch der Ganzheitlichkeit wider, den ISO 27001 in Bezug auf die IT-Sicherheit von Unternehmen anstrebt.
Zusammensetzung der Norm
Die ISO 27001 setzt sich aus zwei Teilen zusammen: der High-Level-Structure (kurz: HLS) sowie dem Annex/Anhang A. Die HLS hält in 10 Klauseln Anforderungen fest, die eine Organisationen erfüllen muss, um Normkonformität zu erreichen. Ergänzend gibt Annex/Anhang A einen Überblick über die einzelnen Kontrollen.
Änderungen in der High-Level-Structure
Die Klauseln 1 bis 3 befassen sich mit Anwendungsbereich, Normativen Verweisungen und Begriffen der Norm und bleiben unverändert. Die Klauseln 4 bis 10 hingegen wurden überarbeitet. Während die Namen der Klauseln unverändert bleiben, wurden einige zusätzliche Inhalte in Unterpunkten aufgenommen.
Änderungen im Annex/Anhang A
Im Vergleich zur High-Level-Structure ergeben sich im Annex/Anhang A mehr Änderungen. In der 2013 Version beinhaltete der Annex/Anhang A 114 Kontrollen. Der 2022 Version wurden 11 neue Kontrollen hinzugefügt, gleichzeitig wurde die Gesamtzahl der Kontrollen auf 93 reduziert. Dies wird ermöglicht, indem mehrere Kontrollen zusammengezogen wurden. Aus den 114 Kontrollen, die in der 2013 Version enthalten sind, wurden 57 zusammengezogen, 35 wurden umbenannt und 35 bleiben unverändert. Wichtig ist zu erwähnen, dass keine Kontrolle der 2013 Version in der 2022 Version entfällt.
Weiterhin ändert sich nicht nur die Anzahl der Kontrollen, sondern auch ihre Kategorisierung. Während in der 2013 Version die 114 Kontrollen in 14 Kategorien aufgeteilt wurden, werden in der 2022 Version die 93 Kontrollen in nur vier Kategorien aufgeteilt: Organisatorische Maßnahmen, Personenbezogene Maßnahmen, Physische Maßnahmen und Technische Maßnahmen.
Sie möchten spezifische Auskunft zu Ihrem Unternehmen?
Was also bedeuten die Änderungen für Sie als Unternehmen? Wenn Sie diesen Artikel lesen sind Sie wahrscheinlich entweder bereits Normanwender oder ziehen eine Zertifizierung in Erwägung.
Bei IMSM blicken wir auf mehr als zwei Jahrzehnte Erfahrung in der Implementierung von ISO Normen zurück. Gerne bieten wir Ihnen ein kostenloses Beratungsgespräch mit einem unserer fachkundigen Vertriebsleiter an.
Als Normanwender können Sie in einem persönlichen Gespräch gemeinsam evaluieren, welche Änderungen Sie in Ihrem Unternehmen vornehmen müssen, um Ihr Managementsystem auf die neue ISO 27001:2022 umzustellen. Genauso geben wir Ihnen gerne einen individualisierten Überblick über den Ablauf einer Erstzertifizierung nach ISO 27001:2022.
Kontaktieren Sie uns
Für ein kostenloses Angebot oder einen kostenlosen Besuch bei Ihnen vor Ort.
Düsseldorf
IMSM GmbH
Fritz-Vomfelde-Straße 34
40547 Düsseldorf