Im Oktober 2022 wurde eine neue Version des De-Facto-Standards der Informationssicherheit veröffentlicht: die ISO/IEC 27001:2022, welche Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) formuliert. Die 2022er-Version löst damit die 2017er-Version (ISO/IEC 27001:2013 inkl. der beiden Corrigenda) ab.
Was ist neu? Und was kommt auf nach ISO/IEC 27001 zertifizierte Kunden jetzt zu? Dazu finden Sie Informationen in diesem Beitrag.
Die Neuerungen
Zunächst die Änderungen im Überblick: Die ISO/IEC 27001:2022 beschreibt in den Kapiteln 4 bis 10 Anforderungen an ein Managementsystem zur Informationssicherheit. Die Änderungen sind relativ überschaubar – gleich mehr dazu. Was sich aber geändert hat und was gravierende Auswirkungen auf ein ISMS hat: Die Controls im Anhang referenzieren jetzt auf die neue ISO/IEC 27002:2022. Damit werden die Änderungen der neuen ISO/IEC 27002:2022 (vgl. unsere Beiträge in den datenschutz notizen dazu) jetzt auch verbindlich für ein ISMS nach ISO/IEC 27001 (zu den Übergangszeiten lesen Sie mehr weiter unten im Text). Wichtig ist: Diese Änderungen sind signifikant und nicht zu unterschätzen!
Änderungen
Nun zu den wesentlichen Änderungen im Managementrahmen aus Kapitel 4-10 der ISO/IEC 27001:2022:
- In der Stakeholder-Analyse in Abs. 4.2 sollen die relevanten Anforderungen der identifizierten interessierten Parteien zukünftig dahingehend gekennzeichnet werden, inwiefern diese das ISMS tangieren.
- In Abs. 4.4 wird die Verpflichtung des Managements, ein ISMS aufzusetzen, zu implementieren, aufrechtzuerhalten und kontinuierlich zu verbessern, erweitert um die Verpflichtung, dass dies auch die benötigten Prozesse und Interaktionen umfasst – eigentlich eine Selbstverständlichkeit.
- Gleichfalls wird in Abs. 5.3 eine Selbstverständlichkeit präzisiert: Das Top-Management muss sicherstellen, dass alle Verantwortlichkeiten und Zuständigkeiten kommuniziert werden und zwar – das ist neu – innerhalb der Organisation.
- Mit die wichtigste Neuerung findet sich in Abs. 6.1.3 d) zum Statement of Applicability (SOA): textuell hat sich nichts geändert, es bleibt beim Verweis auf den Annex A. Da aber der Annex A komplett neu ist, wird sich hier inhaltlich sehr viel verändern.
- Die Ziele (Objectives) aus Abs. 6.2 müssen zukünftig auch ins Monitoring aufgenommen werden und als dokumentierte Information verfügbar gemacht werden.
- Ganz neu ist Abs. 6.3 zur Planung von Änderungen am ISMS.
- Die Kommunikationsvorgaben aus Abs. 7.4 werden von „Wer“ plus Prozess auf „Wie“ reduziert. Wobei: Inhaltlich ändert sich hier wohl nicht viel.
- Abs. 8.1 setzt schwerpunktmäßig die Maßnahmen der Risikoanalyse aus Abs. 6 um. Neu ist, dass darüber hinaus Kriterien für diesen Prozess zu etablieren sind. Abs. 8.1 präzisiert ferner Vorgaben zur Dokumentation, dies scheint aber eher textueller Natur zu sein. Relevanter ist, dass vormals „outgesourcte Prozesse“, die zu bestimmen und kontrollieren sind, nunmehr auch jegliche extern bereitgestellten Prozesse, Produkte oder Services umfassen.
- Abs. 9 wird etwas stärker strukturiert, hier gibt es jetzt Zwischenüberschriften.
- Die KPIs in Abs. 9.1 sollen nunmehr auch zu vergleichbaren und reproduzierbaren Ergebnissen führen.
- Zur Managementbewertung in Abs. 9.3 sind zukünftig Veränderungen von Erwartungen der interessierten Parteien, die relevant für das ISMS sind, mit zu betrachten.
- Eine größere Änderung gab es in Abs. 10: Die kontinuierliche Verbesserung – bislang Abs. 10.2 – und der Umgang mit Nichtkonformitäten und Verbesserungen – bislang Abs. 10.1 – tauschen ihre Reihenfolge in der Norm.
Die Änderungen im Annex A sind grundlegend, hier wird komplett auf die neue ISO/IEC 27002:2022 verwiesen.
Was nun?
Was bedeuten die Änderungen nun für ein nach ISO/IEC 27001:2017 zertifiziertes ISMS? Hier greifen die vom IAF (International Accreditation Forum) am 09.08.2022 verkündeten Vorgaben zur Transition „Transition Requirements for ISO/IEC 27001:2022, Issue 1 (IAF MD 26:2022)“ (verfügbar hier). Wesentliche Eckpfeiler der Transition sind:
- Als Transitions-Periode werden 3 Jahre (36 Monate) festgelegt.
- Zeitvorgaben für Akkreditierungsstellen (weltweit) werden festgelegt: danach sollen Akkreditierungen 6 Monate nach Veröffentlichung der ISO/IEC 27001:2022 starten, hier also im April 2023, und nach 12 Monaten (also im Oktober 2023) abgeschlossen sein.
- Zertifizierungsstellen (auch weltweit) sollen innerhalb von 12 Monaten (also bis Oktober 2023) mit der Umstellung der Akkreditierung starten.
- Die Transition der bereits zertifizierten Kunden soll bis 36 Monate nach Veröffentlichung der ISO/IEC 27001:2022 abgeschlossen sein, also bis spätestens Oktober 2025.
Alle Stellen – also Akkreditierungs- und Zertifizierungsstellen – sind aufgefordert, die Transitionsphase jetzt zu starten, um die Änderungen und Auswirkungen zu analysieren, ihre Prozesse anzupassen, Mitarbeitende zu schulen und ihre jeweiligen Kunden zu informieren.
Zur Umstellung eines ISMS auf die neue ISO/IEC 27001:2022 ist ein Transitions-Audit vorgesehen, das sinnvollerweise zusammen mit einem regulären Audit durchgeführt werden kann. Auch gibt das IAF-Dokument Vorgaben zur ergänzenden Auditzeit.
Ganz wichtig ist die Deadline Oktober 2025. Dann müssen alle alten ISO/IEC 27001:2017-Zertifikate zurückgezogen werden.
Die datenschutz cert GmbH wird selbstverständlich die Transition jetzt angehen und Sie weiterhin informieren – auch zu Auswirkungen auf ein ISMS, das gem. IT-Sicherheitskatalog gem. §11 Abs. 1a ENWG für Netzbetreiber aufgestellt ist. Bei Fragen sprechen Sie uns gerne an.