Neue Version der ISO 27001:2022

Die internationale Norm ISO 27001 wurde dieses Jahr überarbeitet und einigen notwendigen Änderungen unterzogen. Die neue Version der ISO 27001:2022 wurde im Oktober veröffentlicht und löst die bisher geltende ISO 27001:2013 ab. Während die deutschsprachige Übersetzung noch auf sich warten lässt, haben wir schonmal einen Blick in die englische Version geworfen und die wesentlichen Änderungen zusammengestellt.

In den normativen Mindestanforderungen gab es nicht viele Änderungen, diese umfassen

  • Überarbeitung des Kapitels 4.2 Interested parties
  • Überarbeitung des Kapitels 4.4 ISMS
  • Überarbeitung des Kapitels 6.1.3 Risk treatment
  • Überarbeitung des Kapitels 6.2 Objectives
  • Neues Kapitel 6.3 Change management hinzugefügt
  • Überarbeitung des Kapitels 7.4 Communication
  • Neufassung des Kapitels 8.1 Operational planning
  • Überarbeitung des Kapitels 9.1 Monitoring
  • Aufteilung des vorherigen Kapitels 9.2 in 9.2.1 General und 9.2.2 Audit program
  • Aufteilung des vormaligen Kapitels 9.3 in 9.3.1 General / 9.3.2 Input / 9.3.3 Results
  • Die Normanforderungen 10.1 Improvement und 10.2 Nonconformities haben die Plätze getauscht

Ein Blick in die Details lohnt aber definitiv, insbesondere liegt nach unserer Einschätzung der berühmte Teufel im Detail – speziell hinsichtlich Kap. 8.1 sowie dem Abschnitt 9.

Anhang A der ISO 27001:2013

Anhang A der ISO 27001:2013 enthielt 114 Maßnahmen, die sich auf 14 Kapitel verteilten. Der Anhang A wurde umstrukturiert, die Version 2022 enthält nun 93 Maßnahmen, die sich auf 4 Kapitel verteilen:

  • 5 Organizational (37 controls)
  • 6 People (8 controls)
  • 7 Physical (14 controls)
  • 8 Technological (34 controls)

Während einige Maßnahmen scheinbar zusammengelegt wurden, erscheinen andere als neu und erfordern möglicherweise eine Anpassung bestehender Implementierungen.

Unsicher über die Auswirkungen auf Ihre Organisation? Gerne helfen wir beim Umstieg auf die neue Version und freuen uns auf Ihre Anfrage.

Tags

Beitrag teilen

Weitere Artikel

Mit einem SIEM-System Bedrohungen erkennen Ein SIEM-System (Security Information and Event Management) ist eine leistungsstarke Lösung, die Unternehmen dabei unterstützt, Bedrohungen für ihre Informationssicherheit zu erkennen, zu überwachen und darauf zu reagieren. Es ermöglicht die...
Risikovorsorgen sind vermeintlich genauso unliebsam wie Gesundheitsvorsorgen – aber ebenso wichtig! Unterschiedlichste Studien belegen: Angriffe auf IT-Infrastrukturen, Systeme und Applikationen nehmen deutlich zu. Die Folgen sind finanziell veheerend. Michael Kroker bezifferte zu Jahresbeginn einen Rekordstand...
Lesen wir die ISO-Norm 27001:2013 oder den Entwurf der neuen 27001:2022 aufmerksam, stellen wir fest: Die Begriffe Penetration Testing und Vulnerability Scanning sind explizit weder als Maßnahmen als auch im Anforderungstext erwähnt. Die ISO 27002...