Update ISO/IEC 27001 und ISO/IEC 27002
Neue Struktur für den Informationssicherheitsstandard
Wenn es um Informationssicherheit geht, kommt man um die ISO 27001 - als grundlegenden, weltweit anerkannten Standard - nicht herum. Da sich jedoch der Stand der Technik laufend weiterentwickelt und sich auch die damit verbundenen Anforderungen und Probleme ändern, war es an der Zeit, die Norm entsprechend anzupassen. Unsere Sachverständigen haben für Sie die wichtigsten Änderungen der überarbeiteten Informationssicherheitsnorm zusammengefasst.
Was hat sich geändert?
Im ersten Quartal 2022 wurde die neue Version der ISO/IEC 27002 veröffentlicht. Sie definiert allgemeine Sicherheitsmaßnahmen und dient als Standard-Leitfaden für die ISO 27001, deren Update im Laufe des Jahres folgt. Die Änderungen der neuen ISO/IEC 27002:2022 umfassen zum einen die Verbesserung und Aktualisierung der bestehenden Struktur und zum anderen elf neue Maßnahmen (engl. Controls) Während es bei der alten Version noch 114 Maßnahmen gab, die in 14 Bereiche gegliedert waren, wurde dies mit der neuen Version deutlich verschlankt. Im Vordergrund steht jetzt der Zweck der IT-Sicherheitsmaßnahmen. Dafür wurden Maßnahmenziele definiert und Attribute weiter ausgeführt, die eine alternative Sortiermöglichkeit der Maßnahmen und dadurch mehr Flexibilität bieten. Im Zuge dessen wurden 58 Maßnahmen aufgrund neuer Anforderungen an die Informationssicherheit aktualisiert und 24 weitere zusammengefasst. Der neue Maßnahmenkatalog umfasst somit 93 Maßnahmen, die in folgende vier große Bereiche aufgeteilt werden:
- Organizational (37 Maßnahmen)
- People (8 Maßnahmen)
- Physical (14 Maßnahmen)
- Technological (34 Maßnahmen)
Was bedeutet das für Ihre ISO 27001 Zertifizierung?
Sollten Sie aktuell noch nach der DIN EN ISO 27001:2017 zertifiziert sein, müssen Sie sich aufgrund der neuen Version keine Sorgen machen. Die Revision 2022 der ISO/IEC 27001 wurde Ende Oktober 2022 veröffentlicht. Eine Akkreditierung bei der DAkkS (Deutsche Akkreditierungsstelle) ist derzeit noch nicht möglich. Diese ist jedoch die Basis für eine Zertifizierung Ihres Unternehmens.
Wir gehen aktuell davon aus, dass eine Zertifizierung frühestens Ende des dritten Quartals 2023 erfolgen kann und alle Kunden und Kundinnen bis Mitte 2025 auf die Revision umgestellt sein müssen. Daher ist es ratsam, sich bereits jetzt mit den neuen Anforderungen zu beschäftigen, um diese bestmöglich in Ihrem Unternehmen oder Ihrer Organisation umsetzen zu können.
Unsere Sachverständigen der DEKRA Certification GmbH haben sich umfassend mit den Neuerungen und Änderungen der ISO 27000 Reihe befasst und können Sie daher kompetent unterstützen.
Wir begleiten Sie sicher und kompetent
- Vertrauen Sie auf unsere Erfahrung. Mit unserem systematischen Vorgehen begleiten wir Sie zuverlässig auch bei neuen Norm-Versionen.
- Sparen Sie Zeit und Kosten. Unabhängig ob Kombi-, Erst- oder Rezertifizierung, mit unseren individuellen Angeboten bieten wir Ihnen den größten Mehrwert zum optimalen Preis.
Ab dem 31. Oktober 2025 müssen alle bestehenden Zertifikate bereits auf die überarbeiteten Anforderungen der ISO/IEC 27001:2022 umgestellt sein. Bis dahin gilt, dass Erst- oder Rezertifizierungsaudit noch bis spätestens 18 Monate nach Veröffentlichung der neuen Norm (also bis zum 30.04.2024) noch nach der alten Norm DIN EN ISO/IEC 27001:2017 durchgeführt werden können, jedoch bis zum 31.10.2025 eine Umstellung auf die neue Normenrevision erfolgen muss. Diese kann entweder im Rahmen eines Überwachungsaudits oder als separates Umstellungsaudit durchgeführt werden. Der Zyklusverlauf bleibt dabei unverändert. Mit erfolgreichem Abschluss des Umstellungsaudits erhalten Sie dann ein neues Zertifikat für die ISO/IEC 27001:2022 mit einer Gültigkeit bis zum Ende des normalen, 36-Monats-Zyklus.