ISO/IEC 27001:2022 - alles auf Anfang?

Die Liste mögli­cher In­for­ma­ti­ons­si­cher­heitsmaßnah­men im nor­ma­ti­ven An­hang A der neuen ISO/IEC 27001:2022 ist iden­ti­sch aus dem über­ar­bei­te­ten Leit­fa­den ISO/IEC 27002:2022 ab­ge­lei­tet (siehe dazu un­se­ren Ar­ti­kel in der ers­ten Aus­gabe 2022). Dies stellt auch für die Un­ter­neh­men die zen­trale An­for­de­rung bei der Um­set­zung dar.

Ne­ben der Neu­struk­tu­rie­rung der be­reits aus der vor­her­ge­hen­den Fas­sung be­kann­ten An­for­de­run­gen im An­hang A so­wie der zusätz­li­chen An­for­de­run­gen im An­hang A, über die wir be­reits im ers­ten no­vus IT 2022 be­rich­te­ten, ha­ben sich auch in­halt­li­che Ände­run­gen der Haupt­norm der ISO/IEC 27001:2022 er­ge­ben. Hier­bei sind ins­be­son­dere drei An­pas­sun­gen erwähnens­wert.

Harmonized Structure

Eine Ände­rung be­trifft die sog. „Har­mo­ni­zed Struc­ture“. Die Har­mo­ni­zed Struc­ture (HS), ehe­mals High Le­vel Struc­ture (HLS), wurde 2012 von der In­ter­na­tio­nal Or­ga­niza­tion for Stan­dar­diza­tion (ISO) ent­wi­ckelt und ein­geführt. Hin­ter­grund war die Schaf­fung ei­ner ein­heit­li­chen Struk­tur, wo­nach Ma­nage­ment­sys­teme ge­plant und um­ge­setzt wer­den können. Durch die Um­stel­lung auf die HS er­folgt nun, wie be­reits bei an­de­ren Nor­men, die Um­stel­lung da­hin­ge­hend, dass die Ge­schäfts­pro­zesse in den Fo­kus ei­nes ISMS rücken. Neu ist Ka­pi­tel 6.3 und da­mit die An­for­de­rung, dass Ände­run­gen am ISMS ge­plant um­zu­set­zen sind. Es han­delt sich hier­bei um eine be­reits aus an­de­ren Ma­nage­ment­sys­te­men be­kannte An­for­de­rung. Be­reits der Überg­ang von der ISO/IEC 27001:2013 auf die ISO/IEC 27001:2022 ist als ein Bei­spiel ei­ner sol­chen Ände­rung zu se­hen. Die Überführung in die HS führt an wei­te­ren Stel­len in der Norm dazu, dass for­male An­pas­sun­gen vor­ge­nom­men wur­den (bspw. zusätz­li­che Un­ter­punkte in Ka­pi­tel 9.2 (In­ter­nes Au­dit) mit 9.2.1 und 9.2.2 so­wie Ka­pi­tel 9.3 (Ma­nage­ment­be­wer­tung) mit 9.3.1, 9.3.2, 9.3.3).

MC 4.4 - Informationssicherheitsmanagementsystem

Eine wei­tere Ände­rung be­trifft Ka­pi­tel 4.4 (In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem). Die bis­he­rige An­for­de­rung war: „Die Or­ga­ni­sa­tion muss ent­spre­chend den An­for­de­run­gen die­ser In­ter­na­tio­na­len Norm ein In­for­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­tem auf­bauen, ver­wirk­li­chen, auf­recht­er­hal­ten und fort­lau­fend ver­bes­sern.“ Dies wird da­hin­ge­hend er­wei­tert, dass die für eine Auf­recht­er­hal­tung und Um­set­zung er­for­der­li­chen Pro­zesse und ihre Wech­sel­wir­kun­gen im Rah­men des ISMS zu de­fi­nie­ren sind.

MC 8.1 - Betriebliche Planung und Steuerung

Die letzte Ände­rung be­trifft Ka­pi­tel 8.1 (Be­trieb­li­che Pla­nung und Steue­rung). Ergänzend muss die Or­ga­ni­sa­tion nun auch Pro­zess­kri­te­rien fest­le­gen, um die Maßnah­men zur Bewälti­gung der In­for­ma­ti­ons­si­cher­heits­ri­si­ken um­zu­set­zen. Die Steue­rung der Pro­zesse muss ent­spre­chend in Übe­rein­stim­mung mit die­sen Kri­te­rien um­ge­setzt wer­den.

Die wei­te­ren zen­tra­len Ände­run­gen lie­gen in der ISO/IEC 27002:2022 und ha­ben da­mit auch Aus­wir­kun­gen auf die ISO/IEC 27001:2022 - bei­spiels­weise hin­sicht­lich der Maßnah­men zur In­for­ma­ti­ons­si­cher­heits­ri­si­ko­be­hand­lung aus Ka­pi­tel 6.1.3. Der An­hang A der ISO/IEC 27002:2022 ist zen­tra­ler Be­stand­teil der An­for­de­rung aus 6.1.3 c)

Umstellung der Zertifikate

Die Um­stel­lung der Zer­ti­fi­kate er­folgt in einem zwei­stu­fi­gen Ver­fah­ren. Im ers­ten Schritt müssen die bei der Deut­sche Ak­kre­di­tie­rungs­stelle GmbH (DAkkS) ak­kre­di­tier­ten Zer­ti­fi­zie­rungs­stel­len (so auch die ESe­cu­rity-CERT GmbH als un­abhängige Zer­ti­fi­zie­rungs­stelle im Eb­ner Stolz Ver­bund) einen An­trag auf Ände­rung der Ak­kre­di­tie­rung bei der DAkkS stel­len und sich einem Au­dit durch die DAkkS un­ter­zie­hen, um eine Neu-Ak­kre­di­tie­rung für die ISO/IEC 27001:2022 zu er­hal­ten. Die­ser Pro­zess muss gemäß Vor­gabe des IAF durch die DAkkS bis Ok­to­ber 2023 ab­ge­schlos­sen sein. In einem zwei­ten Schritt können dann die von der je­wei­li­gen Zer­ti­fi­zie­rungs­stelle aus­ge­ge­be­nen Zer­ti­fi­kate nach DIN EN ISO/IEC 27001:2017-06 im Rah­men des Prüfungs­zy­klu­ses auf die ISO/IEC 27001:2022 um­ge­stellt wer­den.

Für den Pro­zess der Tran­si­tion auf die ISO/IEC 27001:2022, wurde durch das IAF (In­ter­na­tio­nal Ac­cre­di­ta­tion Fo­rum) ent­spre­chende Vor­ga­ben de­fi­niert - so­wohl für die Ak­kre­di­tie­rungs­stelle als auch für die Zer­ti­fi­zie­rungs­stel­len. Hier­aus er­gibt sich auch der zeit­li­che Rah­men für die be­reits zer­ti­fi­zier­ten so­wie die neu zu zer­ti­fi­zie­ren­den Un­ter­neh­men. In Kürze zu­sam­men­ge­fasst wurde fol­gen­des fest­ge­legt:

• Die Tran­si­ti­ons­phase beträgt drei Jahre ab Veröff­ent­li­chung der ISO/IEC 27001:2022 (und en­det so­mit am 24.10.2025)
• Vor­ga­ben für die DAkkS/Ak­kre­di­tie­rungs­stel­len:
  • Spätes­tens sechs Mo­nate nach Veröff­ent­li­chung (25.10.2022) der ISO/IEC 27001:2022 (so­mit am 25.04.2023) müssen die na­tio­na­len Ak­kre­di­tie­rungs­stel­len die Möglich­keit bie­ten, sich für die neue Norm ak­kre­di­tie­ren las­sen zu können
  • Erstak­kre­di­tie­run­gen nach ISO/IEC 27001:2022 müssen spätes­tens ab dem 25.4.2023 möglich sein
  • Die Um­stel­lung der Ak­kre­di­tie­rung für Zer­ti­fi­zie­rungs­stel­len (wie die ESe­cu­rity-CERT GmbH) muss in­ner­halb von zwölf Mo­na­ten (so­mit bis zum 24.10.2023) ab­ge­schlos­sen sein
• Vor­ga­ben für die ESe­cu­rity-CERT GmbH/Zer­ti­fi­zie­rungs­stel­len:
  • Zer­ti­fi­zierte Man­date müssen bis Ok­to­ber 2025 um­ge­stellt sein.
  • Die Um­stel­lung kann in Ver­bin­dung mit einem Über­wa­chungs­au­dit, Re­zer­ti­fi­zie­rungs­au­dit oder in einem se­pa­ra­ten Au­dit er­fol­gen (nach­fol­gend wird nur das Wort „Au­dit“ ver­wen­det).
  • Das Au­dit darf sich nicht nur auf eine Do­ku­men­tenprüfung stützen, ins­be­son­dere für die Überprüfung der tech­ni­schen Kon­trol­len
  • Das Au­dit um­fasst u.a.:
    • die Lücken­ana­lyse der ISO/IEC 27001:2022 so­wie die Not­wen­dig­keit von Ände­run­gen am ISMS
    • die Ak­tua­li­sie­rung der An­wend­bar­keits­erklärung (SoA)
    • ge­ge­be­nen­falls die Ak­tua­li­sie­rung des Ri­si­ko­be­hand­lungs­plans
    • die Um­set­zung und Wirk­sam­keit der neuen oder geänder­ten Kon­trol­len, die von den Man­dan­ten gewählt wur­den.
  • Das Au­dit kann re­mote durch­geführt wer­den, so­fern si­cher­ge­stellt wer­den kann, dass die Ziele des Au­dits er­reicht wer­den.
  • Un­abhängig von der Au­dit­form (Über­wa­chungs­au­dit, Re­zer­ti­fi­zie­rungs­au­dit, se­pa­ra­tes Au­dit) er­ge­ben sich zusätz­li­che Min­dest­aufwände, die bei der ESe­cu­rity-CERT GmbH an­fal­len und die be­rech­net wer­den müssen.
  • Mit Ab­schluss des Au­dits er­folgt eine Ak­tua­li­sie­rung der Zer­ti­fi­zie­rungs­do­ku­mente. So­fern das Au­dit im Rah­men ei­nes se­pa­ra­ten Au­dits er­folgt und da­mit nur die Tran­si­tion geprüft wurde, wird der Ab­lauf des ak­tu­el­len Zer­ti­fi­zie­rungs­zy­klus nicht geändert.

Mapping ISO/IEC 27002:2013 vs. ISO/IEC 27002:2022

Als Un­terstützung zur Um­set­zung der An­for­de­run­gen, fin­den Sie auf der Home­page der ESe­cu­rity-CERT GmbH eine frei verfügbare Ex­cel-Liste mit dem Map­ping der Kon­trol­len aus dem An­hang A zwi­schen der ISO/IEC 27002:2022 und der bis­he­ri­gen ISO/IEC 27002:2013. Ebenso eine bei­spiel­hafte Dar­stel­lung ei­ner an­ge­pass­ten State­ment of Ap­plica­bi­lity (SoA), wel­che na­tur­gemäß um wei­tere Spal­ten in­di­vi­dua­li­siert wer­den kann (bspw. KPI-Re­por­ting und Ri­si­ko­ma­nage­ment).

Wei­tere In­for­ma­tio­nen fin­den Sie hier.