Blog

ISO27001:2022: Was ändert sich mit der neuen Version?

/ Kategorie: CISO, Governance, Risk & Compliance

Im März und November 2022 wurden die neuen Versionen der ISO27001 inkl. Anhang A sowie der ISO27002 herausgebracht. Bereits die Namensänderung von «Information technology - Security techniques» zu «Information security, cybersecurity and privacy protection» deutet eine stärkere Ausrichtung auf Cybersecurity und Datenschutz an.

Die ISO27001:2022 hat nur minimale Anpassungen erfahren und behält ihren Kern, der sich in anderen ISO-Normen widerspiegelt, bei. Grosse Veränderungen findet man im Anhang A (und den ergänzenden Erläuterungen der ISO27002:2022), die jetzt einen Implementierungsleitfaden für 93 Controls enthält, verglichen mit 114 Controls in der vorherigen Version.

Wenn Sie vor der Aufgabe stehen, für ihr bestehendes ISMS ein Update durchzuführen, werden Sie sich wahrscheinlich erst mal Informationen im Internet anschauen. Es gibt unzählige Beitrag über das Thema und auch ChatGPT hält eine Anleitung bereit. Aber die spannende Frage ist nun, was für ein Update von Version 2013 auf die Version 2022 wirklich zu tun ist. Der Übergang mag zwar komplex erscheinen, doch mit einem systematischen Ansatz lässt er sich gut bewältigen. Hier sind die detaillierten Schritte, die Sie bei der Umstellung beachten sollten:

  • Informationssammlung und Studium der Norm
    Bevor Sie mit der Umstellung beginnen, ist es essenziell, sich einen tiefgehenden Überblick über die ISO 27001:2022 zu verschaffen. Dies beinhaltet nicht nur das Studium der neuen Norm, sondern auch das Verständnis der spezifischen Änderungen im Vergleich zur Version von 2013. Hilfreich hierbei ist der informative Anhang B in der ISO27001:2022, welcher eine tabellarische Gegenüberstellung der alten und neuen Controls bietet. Dies bildet eine solide Grundlage für die Erstellung einer neuen Statement of Applicability (SOA).
  • Gap-Analyse durchführen
    Dies ist der wichtigste, aber auch kritischste Schritt. Sie müssen eine genaue Übersicht darüber haben, was in Ihrer aktuellen ISO27001:2013 Umgebung vorhanden ist und was in der ISO27001:2022 gefordert wird. Wenn Sie eine gut detaillierte SOA haben, die jede Anforderung auf das jeweilige Dokument referenziert, kann diese Aufgabe erleichtert werden. Ist das nicht der Fall, oder Ihre Dokumentation ist unklar, wird diese Phase umso anspruchsvoller.
  • Aktualisierung der Dokumentation
    Basierend auf den Ergebnissen von Schritt 2 müssen Sie jetzt Ihre Dokumentation überarbeiten. Hierzu gehört die Aktualisierung der Leitlinien, der Grundsätze des ISMS, des Risikomanagement- und des kontinuierlichen Verbesserungsprozesses. Jede Control muss individuell überprüft werden, und es könnte sinnvoll sein, die Strukturierung nach den Abschnitten Organizational-, People-, Physical- und Technical Control zu überdenken.

Sinnvoll ist auf jeden Fall eine eigene Datenschutzrichtlinie, die in der Schweiz mit dem Inkrafttreten des neuen Bundesgesetzes über den Datenschutz zum 01.09.2023 an Bedeutung gewinnt. Und wenn noch nicht vorhanden, sollten Sie eine Richtlinie zum Cloud Computing erstellen.

Die weiteren Schritte sind im PDCA-Zyklus (Plan-Do-Check-Act) verankert und sollten unabhängig von der Normversion regelmässig durchgeführt werden. Hier geht es darum, sicherzustellen, dass alle Änderungen korrekt implementiert wurden und dass das ISMS effektiv arbeitet.

  1. Schulung und Sensibilisierung der Mitarbeitenden
    Es reicht nicht aus, nur die Prozesse und Dokumentationen zu ändern; die Mitarbeitenden müssen auch über die Neuerungen informiert und entsprechend geschult werden. Dies stellt sicher, dass sie die Änderungen verstehen und effektiv umsetzen können.
  2. Risikobewertung aktualisieren
    Die Risikolandschaft verändert sich ständig. Mit der Einführung einer neuen Norm müssen auch die Risikobewertung und die damit verbundenen Managementpläne überprüft und angepasst werden, um den aktualisierten Anforderungen zu genügen.
  3. Durchführung interner Audits
    Nach der Umsetzung der vorherigen Schritte ist es ratsam, interne Audits durchzuführen, um sicherzustellen, dass das überarbeitete ISMS effektiv arbeitet und den neuen Anforderungen der ISO 27001:2022 entspricht.
  4. Externes Audit beauftragen
    Schliesslich können Sie ein externes Audit in Erwägung ziehen, dies bestätigt Ihnen und ihren Kunden die konforme Implementierung der Norm und schafft Vertrauen in die Implementierung, Umsetzung und Einhaltung des ISMS.

Häufige Stolpersteine

Bei der Umstellung auf eine neue Norm, wie die ISO 27001:2022, können technische und organisatorische Herausforderungen auftreten. Ein häufiger Stolperstein ist das unzureichende Verständnis der geänderten Anforderungen, was zu Inkonsistenzen im Informationsicherheits-Managementsystem (ISMS) führt. Des Weiteren kann die fehlende Integration neuer Vorgaben in bestehende Geschäftsprozesse zu Sicherheitslücken oder Compliance-Problemen führen. Die Anpassung der Risikobewertung an die aktualisierten Anforderungen kann ebenfalls Schwierigkeiten bereiten, wenn nicht alle Risikoszenarien berücksichtigt werden. Zudem wird die Neuausrichtung des Schulungsprogramms für die Mitarbeitenden an die neuen Standards und Verfahren oft unterschätzt, was die Umsetzung der Norm in der Praxis beeinträchtigt. Das Erkennen und fachgerechte Adressieren dieser technischen und organisatorischen Herausforderungen sind entscheidend für einen erfolgreichen Übergang zur neuen Norm.

Interaktion und Synergie von ISO 27001:2022 mit anderen Sicherheitsstandards

Die ISO 27001:2022 ist zweifellos eine zentrale Norm im Bereich der Informationssicherheit. Doch sie existiert nicht im Vakuum. In vielen Branchen und Regionen gibt es eine Vielzahl von Sicherheits- und Datenschutzstandards, die von Organisationen berücksichtigt werden müssen. Es ist daher entscheidend, das Zusammenspiel der ISO 27001:2022 mit diesen anderen Standards zu verstehen.

Ein sorgfältiger Abgleich zwischen der ISO 27001:2022 und anderen in Ihrem Sektor geltenden Standards kann Aufschluss darüber geben, wo Überschneidungen bestehen. Dieses Verständnis kann helfen, doppelte Arbeit zu vermeiden. Beispielsweise könnten bestimmte Audit-Aktivitäten, die sowohl von der ISO 27001 als auch von einem anderen Standard gefordert werden, gleichzeitig erfüllt werden.

Zudem können Organisationen Synergien nutzen, indem sie gemeinsame Grundprinzipien oder Anforderungen identifizieren und diese in ihre Sicherheits- und Datenschutzpraktiken integrieren. Dies kann nicht nur Ressourcen sparen, sondern auch einen konsistenten und harmonisierten Ansatz für die Informationssicherheit gewährleisten. Es geht also nicht nur darum, Redundanzen zu vermeiden, sondern auch darum, die Stärken jedes Standards zu nutzen, um ein umfassendes und robustes Sicherheitssystem zu schaffen.

Schliesslich kann eine solche Integration auch dazu beitragen, das Vertrauen von Stakeholdern und Kunden zu stärken. Wenn diese sehen, dass eine Organisation nicht nur die Anforderungen eines Standards erfüllt, sondern eine harmonisierte und umfassende Herangehensweise an die Informationssicherheit verfolgt, kann dies das Vertrauen in die Sicherheitspraktiken dieser Organisation weiter erhöhen.

Aktualisierung auf ISO 27001:2022 ist notwendig für eine erfolgreiche Zertifizierung

Das Update ihres bestehenden ISMS auf ISO27001:2022 ist ein Muss, wenn Sie weiterhin eine Zertifizierung anstreben. Denn jedes Audit, egal ob Erst- oder Rezertifizierung nach dem 01.05.2024, muss nach ISO/IEC 27001:2022 durchgeführt werden. Wenn Sie eine Zertifizierung nach ISO 27001 anstreben oder ein Update von Version 2013 auf 2022 planen, sollten Sie sich an einen erfahrenen Berater wenden. Ein Berater kann Ihnen bei der Entwicklung und Umsetzung eines ISMS und bei der Vorbereitung auf die Zertifizierungsprüfung helfen.

Zusammen. Sicher. 

Sie benötigen Unterstützung bei Ihrer ISO 27001:2022 Umstellung? Vertrauen Sie auf die Expertise von ISPIN und setzen Sie auf unsere langjährige Erfahrung. Kontaktieren Sie uns jetzt und lassen Sie uns gemeinsam sicher in die Zukunft blicken!

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.