Mit der Neuauflage der ISO 27002 im Februar 2022 kam frischer Wind in die bereits etwas angestaubte Normfamilie der 2700-Reihe. Dabei war sie nur ein Vorbote, denn die Neufassung der ISO/IEC 27001, welche als international führende Norm für Informationssicherheits-Managementsysteme (ISMS) gilt, folgte nur wenige Monate später im Oktober 2022. Zwar ist eine Zertifizierung ausschließlich nach ISO/IEC 27001 möglich, allerdings bietet die ISO/IEC 27002 mithilfe detaillierter Beschreibungen Hilfestellungen für die Implementierung der im Annex A der ISO/IEC 27001 geforderten Maßnahmen. Mithilfe dieser Maßnahmen sollen die Ziele des ISMS erreicht werden. Damit ist sie als eine Ergänzung zur ISO 27001 zu verstehen und enthält umfassende Informationen, die bei der Implementierung eines funktionierenden ISMS unterstützen können – die Maßnahmenbeschreibung, welche über die Anforderungen der ISO 27001 hinausgehen, haben dabei allerdings lediglich Empfehlungscharakter. Doch welche konkreten Änderungen bringen die Neuauflagen dieser beiden Normen mit sich?

Neue Struktur, neue Controls

Eines vorweg: Die Änderungen, welche die Anforderungen an das ISMS betreffen, sind überschaubar. Eines fällt beim Blick auf die ISO/IEC 27002 jedoch sofort auf: Die Editoren haben ihr eine neue Grundstruktur verpasst. Auch wurden einige Definitionen überarbeitet und neue Begrifflichkeiten eingeführt. Zudem wurde die Bewertungsmethode geändert: So werden Maßnahmen künftig nach ihren Eigenschaften kategorisiert. Die gravierendste Änderung findet sich allerdings in den gelisteten Controls wieder: Denn hier wurde zusammengefasst, gestrichen und hinzugefügt. Stolze 11 Controls kamen neu dazu, während lediglich eine Control ersetzt wurde. Die früher vierzehn Hauptkategorien hat man in vier Kategorien eingeschmolzen. Diese Änderung schlägt sich – wie erwartbar war – auch im Annex A der ISO 27001:2022 nieder und wird damit zertifizierungsrelevant. Wer sein ISMS nach ISO 27001 aufgebaut hat, sollte sein ISMS nun also auf den Prüfstand stellen und mögliche Anpassungsbedarfe evaluieren. Das gilt insbesondere für das Risikomanagement sowie das Statement of Applicability (SoA). Auch müssen direkte Verweise in der internen Dokumentation auf die ISO-Normen aktualisiert werden.

Wie Mitarbeitende auf die Änderungen vorbereiten?

Die Neuauflagen der ISO/IEC 27001 und der ISO/IEC 27002 sind kein Grund für Verzweiflungstaten. Allerdings müssen bestehende Strukturen und Maßnahmen überprüft und den neuen Anforderungen angepasst werden. Besonders für bereits zertifizierte Unternehmen oder jene, die eine Zertifizierung nach ISO/IEC 27001 anstreben, besteht akuter Handlungsbedarf. So müssen sich letztere entsprechend an der neuen Struktur orientieren. Für zertifizierte Unternehmen gibt es eine Übergangsfrist von 36 Monaten ab dem Datum der Veröffentlichung der neugefassten Norm. Damit müssen bis Oktober 2025 alle bestehenden Zertifikate auf die neue ISO/IEC 27001:2022 umgestellt werden. Damit die Neuerungen verstanden und erforderliche Änderungen fachgerecht umgesetzt werden können, ist eine professionelle Schulung und Sensibilisierung jedoch unerlässlich. Wir unterstützen Sie dabei: Security-Island bietet innovative Schulungslösungen zum Thema Informationssicherheit. In unserem gleichnamigen E-Learning-Channel finden Sie Kurse für Mitarbeitende und Führungskräfte, die Sie dabei unterstützen, Ihr ISMS aktiv zu stärken und die wirkungsvolle Umsetzung einzelner Maßnahmen voranzutreiben.