Neue Version der ISO 27001:2022
Die internationale Norm ISO 27001 wurde dieses Jahr überarbeitet und einigen notwendigen Änderungen unterzogen. Die neue Version der ISO 27001:2022 wurde im Oktober veröffentlicht und löst die bisher geltende ISO 27001:2013 ab. Während die deutschsprachige Übersetzung noch auf sich warten lässt, haben wir schonmal einen Blick in die englische Version geworfen und die wesentlichen Änderungen zusammengestellt.
In den normativen Mindestanforderungen gab es nicht viele Änderungen, diese umfassen
- Überarbeitung des Kapitels 4.2 Interested parties
- Überarbeitung des Kapitels 4.4 ISMS
- Überarbeitung des Kapitels 6.1.3 Risk treatment
- Überarbeitung des Kapitels 6.2 Objectives
- Neues Kapitel 6.3 Change management hinzugefügt
- Überarbeitung des Kapitels 7.4 Communication
- Neufassung des Kapitels 8.1 Operational planning
- Überarbeitung des Kapitels 9.1 Monitoring
- Aufteilung des vorherigen Kapitels 9.2 in 9.2.1 General und 9.2.2 Audit program
- Aufteilung des vormaligen Kapitels 9.3 in 9.3.1 General / 9.3.2 Input / 9.3.3 Results
- Die Normanforderungen 10.1 Improvement und 10.2 Nonconformities haben die Plätze getauscht
Ein Blick in die Details lohnt aber definitiv, insbesondere liegt nach unserer Einschätzung der berühmte Teufel im Detail – speziell hinsichtlich Kap. 8.1 sowie dem Abschnitt 9.
Anhang A der ISO 27001:2013
Anhang A der ISO 27001:2013 enthielt 114 Maßnahmen, die sich auf 14 Kapitel verteilten. Der Anhang A wurde umstrukturiert, die Version 2022 enthält nun 93 Maßnahmen, die sich auf 4 Kapitel verteilen:
- 5 Organizational (37 controls)
- 6 People (8 controls)
- 7 Physical (14 controls)
- 8 Technological (34 controls)
Während einige Maßnahmen scheinbar zusammengelegt wurden, erscheinen andere als neu und erfordern möglicherweise eine Anpassung bestehender Implementierungen.
Unsicher über die Auswirkungen auf Ihre Organisation? Gerne helfen wir beim Umstieg auf die neue Version und freuen uns auf Ihre Anfrage.
