Zum Inhalt springen
Startseite » Blog » Neue Version der ISO/IEC 27001 wurde (endlich) veröffentlicht

Neue Version der ISO/IEC 27001 wurde (endlich) veröffentlicht

Am 25. Oktober 2022 ist nun endlich die lang erwartete neue Version der ISO/IEC 27001 veröffentlich worden. Nachdem bereits im Februar die ISO/IEC 27002 bereits neu erschienen war, wurde nun gespannt auf die neue Version des „Hauptstandards“ gewartet. Die gute Nachricht ist, dass sich nichts gravierendes geändert hat, außer dem kompletten Annex A – Security Controls. Hierzu schaut einfach in den damaligen Blogpost.

Die ISO/IEC 27001 ist von 23 auf 19 Seiten geschrumpft und die wichtigsten Änderungen sind

  • 4.2 c) ist neu, so dass man nun sich bewusst sein muss, welche Bedürfnisse und Anforderungen von Stakeholdern durch das ISMS erfüllt werden
  • 4.4 Information security management system wurde etwas genauer spezifiziert, dass das ISMS und die dazugehörigen Prozesse etabliert, implementiert, gepflegt und weiterentwickelt werden müssen
  • Die Informationssicherheitsziele müssen nun als dokumentierte Information vorliegen (6.2)
  • Änderungen am ISMS müssen ebenfalls einem geplanten Prozess folgen (6.3 – neu)
  • Geringe Anpassung bzgl. der Kommunikation  (7.4)
  • Im Bereich „Operational planning and control“ (8.1) wurden weitere Anforderungen hinzugefügt
  • Monitoring, measurement, analysis and evaluation (9.1) wurde um die konkretere Anforderung erweitert, dass das Leistung der Informationssicherheit und die Effektivität des ISMS überprüft werden muss
  • Der Management Review wurde um den Punkt „Veränderung in den Bedürfnissen und Anforderungen von Stakeholdern bzgl. des ISMS“ erweitert
  • 10 Improvement wurde neu strukturiert
  • Keine signifikanten Anforderungen aus der Version von 2013 ist weg gefallen.

Übergangsphase

Ab jetzt können Unternehmen sich nach der neuen Version zertifizieren. Die bisherige Version von 2013 kann noch bis zum 31. Oktober 2023 zertifiziert werden.

Und bis spätestens 31. Oktober 2025 müssen dann alle Unternehmen auf die 2022er Version gewechselt haben.

Zusammenfassend lässt sich also feststellen, dass sich der Anpassungsbedarf für ein bestehendes ISO/IEC 27001 Zertifikat in Grenzen hält und hauptsächlich

  • der Risikobehandlungsplan an die neue Struktur des Annex und die neuen Controls angepasst werden muss
  • Das Statement of Applicabitlity (SoA) muss neu erstellt werden
  • Management Review muss um den zusätzlichen Punkt erweitert werden
  • Informationssicherheitsziele und deren Monitoring / Messung muss überprüft werden
  • Kommunikationsplan muss aktualisiert werden

Bei Fragen zur Transition oder zur Etablierung eines neuen Informationssicherheits-Managementsystems melden sie sich bei uns.

Schlagwörter: