HiSolutions informiert über Neuerungen der ISO/IEC 27001:2022

Die ISO 27001 ist die wichtigste internationale Norm im Bereich Information Security. Sie wird regelmäßig überprüft und überarbeitet, um eine angemessene Adressierung relevanter Informationssicherheitsmaßnahmen für Organisationen und Institutionen sicherzustellen. Die ISO-Norm setzt internationale Standards für Informationssicherheitsmanagementsysteme (ISMS) und hilft Unternehmen dabei, Informationen risikoorientiert zu schützen. Sowohl präventive Maßnahmen zum Schutz von Informationen als auch reaktive Maßnahmen zur Behandlung von Informationssicherheitsvorfällen werden mit der Norm abgedeckt. 
Mit der jetzigen Novellierung wurde die regelmäßige Überarbeitung fünf Jahre nach dem letzten Inkrafttreten umgesetzt.

 

Neuerungen der Novellierung

Nach Veröffentlichung der ISO/IEC 27002:2021 im vergangenen Jahr erforderte dies auch die Anpassung der ISO/IEC 27001. Diese war ursprünglich als Amendment gedacht. Seit Mai dieses Jahres lag dann die Entscheidung vor, die ISO/IEC 27001 komplett zu überarbeiten, um die Lesbarkeit und Nachvollziehbarkeit trotz der umfangreichen Veränderungen der ISO/IEC 27002:2022 beizubehalten.

Die ISO/IEC 27001 besteht aus den Hauptkapiteln vier bis zehn, die ein ISMS beschreiben: von der Planung bis zur kontinuierlichen Verbesserung, sowie den Annex A, der die umzusetzenden Maßnahmen (sog. Controls) beinhaltet. In der neuen Fassung wurden wesentliche Änderungen vorgenommen, darunter ein neuer kategorischer Aufbau des Annex A in vier statt vierzehn Themen sowie neue und überarbeitete Controls. Zudem ist feststellbar, dass keine Maßnahme unverändert aus der bisherigen Norm übernommen wurde – sämtliche Controls wurden inhaltliche überarbeitet. Am deutlichsten ist die Veränderung des Titels: Die bisherige Benennung "Information technology — Security techniques — Information security management systems — Requirements" wechselte zu "Information security, cybersecurity and privacy protection — Information security management systems — Requirements" und greift damit bereits die Neustrukturierung und -fokussierung auf weitere Maßnahmen auf. In der Vergangenheit fokussierte sich die Norm durch ihren Titel stark auf die IT-Sicherheit. Die Anpassung des Titels rückt nun weitere Themen in den Fokus und spiegelt eine breitere Anwendungsmöglichkeit für Unternehmen jeglicher Art wider.

 

Änderungen im Detail

Die Neuauflage der Norm umfasst auch im Annex A aufgrund der Novellierung der ISO/IEC 27002 eine neue Struktur, die einen besseren Überblick fördert. Thematisch verwandte Controls sind gesammelt abgebildet, so dass aus ehemals vierzehn Themenblöcken nur noch vier zur Kategorisierung genutzt werden: A.5 organizational controls, A.6 people controls, A.7 physical controls und A.8 technical controls.

Zur konkreteren Umsetzung der Controls des Annex A kann die ISO/IEC 27002:2022 herangezogen werden, die Controls nun mit Attributen verknüpft. Diese erhöhen die Durchsuchbarkeit der Norm erheblich und reduzieren damit auch Fehlinterpretationen bei der Anwendung. Dabei besteht auch für ein zertifizierungsfähiges ISMS die Möglichkeit, dass Unternehmen und Institutionen die vorgeschlagenen Attribute um individuelle anreichern, um die eigene Regelungsstruktur adressatengerechter auszugestalten. Die Norm regt hier explizit an, organisationsspezifische Attribute zu definieren. 
Der größte Überarbeitungsaufwand erwartet Unternehmen, die ein (zertifiziertes) ISMS nach ISO 27001 betreiben, bei der Transformation auf die novellierte ISO 27001 im Rahmen der Aktualisierung vorhandener Prozesse, Richtlinien und Werkzeuge anhand des Mappings von ehemaligen und neuen Controls sowie bei der Bearbeitung von Themen wie Business Continuity, Cloud Security oder Threat Intelligence, welche die Norm nun konkretisiert. 
 

Standards setzen als Mission von HiSolutions

HiSolutions unterstützt seine Kunden schon jetzt in der Umsetzung von Informationssicherheit nach der neuen Norm. Dies erfolgt z. B. initial bei der Erhebung des Ist-Zustands durch Gap-Analysen, bei der Transformation bestehender Vorgaben in die neue Control-Struktur sowie auf strategischer Ebene bei der Etablierung einer individuellen Attributstruktur im Rahmen eines Security Control Frameworks zur adressatengerechten Umsetzung des ISMS.

Das Beratungshaus unterstützt seine Kunden nicht nur dabei, Standards im Rahmen ihres (IT-)Sicherheitsmanagements zu befolgen, sondern prägt diese aktiv mit. Der Beratungsspezialist hat bereits die Entwicklung verschiedener nationaler und internationaler Standards vorangetrieben: Beim BSI-Standard 200-4 wirkte HiSolutions als Co-Autor mit und leistete aktive Mitarbeit in Gremien der DIN (ISO/IEC 27001; 22301 und 27701). Das Unternehmen wird so seinem eigenen Anspruch gerecht, für eine bestmögliche Beratung besonders nah an der Gestaltung von Grundlagen beteiligt zu sein.

Im Rahmen der digitalen Wissensveranstaltung „Know-how to go“ informierte HiSolutions als eines der ersten Beratungsunternehmen zur bereits novellierten ISO 27002, aus der sich Änderungen für die ISO 27001 ergeben haben. In diesem Veranstaltungsrahmen wurden die Neuerungen der Norm von verschiedenen HiSolutions-Expertinnen und Experten umfangreich beleuchtet. Auch Anwendungsgebiete der beiden Normen sowie das Zusammenspiel mit anderen Bereichen des Informationssicherheits-, Business Continuity- und Auditmanagements wurden thematisiert.

„Die neue ISO/IEC 27001:2022 stellt eine Chance für jedes ISMS dar. Durch die Neugliederung der Controls im Anhang und die Nutzung der Mehrdimensionalität durch Attribute entsprechend der neuen ISO/IEC 27002:2022 kann insbesondere die Strukturierung von Maßnahmen im Rahmen des Risikomanagements völlig neu gedacht werden“, kommentiert Robert Manuel Beck, Principal im Bereich Security Consulting bei HiSolutions.

ISMS-Verantwortliche sollten nun die Gelegenheit zur kontinuierlichen Verbesserung nutzen. Kunden, die bereits nach ISO 27001 zertifiziert sind, können in einer Transformationsphase auf die neue ISO 27001 wechseln. Zuvor muss die neue Norm bei der Dakks aufgenommen werden, woraufhin diese Transformationsphase auf voraussichtlich drei Jahre festgelegt werden wird. In dieser Phase werden sich die Zertifizierungsstellen über einen formellen Antragsprozess einschließlich Umstellungsplanung, einer Liste zugelassener Auditoren und etwaiger Ausbildungsnachweise auf die neue Norm umstellen.
 

Mehr Informationen zur Expertise in der Informationssicherheit von HiSolutions: https://www.hisolutions.com/security-consulting/informationssicherheit/iso-27001

Jetzt teilen: