ISO 27001:2022: Bereit für das Update?

Was ist die ISO 27001 und warum brauche ich sie?

Der verbreitete ISO 27001-Standard adressiert Bereiche aus der Informationssicherheit und hat dabei eine große Schnittmenge mit IT-Dienstleistungen bzw. Managed Services. Er wird oft zu Rate gezogen, sobald sich Organisationen der Risiken in der Informationstechnologie bewusstwerden und ein messbares Rahmenwerk für eine planbare Steuerung dieser Risiken errichten möchten. Genauer gesagt spezifiziert die Norm die Information Technology – Security Techniques – ISMS – Requirements. Das heißt konkret, dass es Controls für die Planung, Umsetzung, Aufrechterhaltung und die kontinuierliche Verbesserung von Informationssicherheitsmanagementsystemen (ISMS) definiert. Die Controls sind von zentraler Bedeutung innerhalb des Standards. Sie bilden die Maßnahmen ab, die angemessen beantwortet werden müssen, wenn in der Risikoanalyse relevante Risiken für Werte identifiziert werden: Dort, wo beispielsweise Entwicklungstätigkeiten stattfinden, ergeben sich Risiken für die verwendete Information. Diese Risiken werden mit normkonformer Umsetzung der Controls nachweislich minimiert.

Mit einem ISMS gemäß den Vorgaben der ISO 27001-Norm zeigt eine Organisation nicht nur gegenüber den internen Interessensträgern, dass ein klares Vorgehen in Bezug auf die eigene Informationssicherheit an den Tag gelegt wird. Auch für Kunden und potenzielle Auftraggeber ist es ein deutliches Zeichen, das gesetzt wird: Informationen werden sicher und vertrauenswürdig behandelt. Und das nicht nur innerhalb der IT-Systeme, sondern über den gesamten Lebenszyklus hinweg – von Informationen über Menschen, Technik und die begleitenden Prozesse.

Herausforderungen durch das ISO 27001:2022-Update

Die letzte Überarbeitung des ISO 27001-Standards fand im Jahr 2015 (respektive 2017) statt. Hier wurden kleinere Korrekturen und ergänzende Anmerkungen an einigen Stellen vorgenommen. Diese haben sich jedoch lediglich auf redaktionelle Anpassungen beschränkt. Das jetzige Update auf die neue Normversion ISO 27001:2022 sieht allerdings nicht nur eine geänderte Kapitelstruktur vor, sondern spezifiziert weiterhin elf gänzlich neue Controls.

Als hervorzuhebende Beispiele sind hierbei folgende Controls zu nennen:

• Control 5.07 Threat intelligence, welches eine strukturierte Herangehensweise für die Sammlung relevanter Informationen für die Früherkennung von Bedrohungen fordert
• Control 5.30 ICT readiness for business continuity, welches inzwischen auch eine Business-Impact-Analyse in den Vordergrund rückt
• Control 5.23 Information security for the use of cloud services, welches nun auch die Cloud stärker berücksichtigt

Bei diesen Punkten handelt es sich um ebenjene neuen Controls, die bislang nicht oder nicht in dieser Tiefe im Rahmen der ISO-Norm betrachtet wurden. So wird mit dem aktuellen ISO 27001:2022-Update auch die Cloud mehr in den Fokus gerückt (Control 5.23). Hier müssen Regelungen für den Einsatz von Cloud-Services innerhalb der Organisation definiert und umgesetzt werden. Dabei ist die Anforderung des Standards wenig präzise und fordert lediglich, dass Akquise, Nutzung, Verwaltung und Exit von Cloud-Services in Abstimmung über die Informationssicherheitsanforderungen der Organisation geregelt sein müssen. Dahinter stecken allerdings Prozesse, zu identifizierende Verantwortlichkeiten und Wirksamkeitskontrollen, die kreiert und durchgesetzt werden wollen, um der Anforderung hinreichend zu genügen.

Die Zeitleiste der aktuellen Version ISO 27001:2022

Wer bereits eine Zertifizierung nach ISO 27001 führt, fragt sich: Zu wann muss ich diese Änderungen an der Norm in meinem Geltungsbereich betrachten? Die Übergangsfrist für zertifizierte Managementsysteme beträgt hier drei Jahre nach Veröffentlichung der neuen Normversion. Somit müssen bis spätestens November 2025 alle Organisationen auf den neuen Standard ISO 27001:2022 und dessen Controls umgestellt sein.

Sofern derzeit noch eine Erstzertifizierung nach der „alten“ Normversion angestrebt wird, ergibt sich ein strafferer Zeitplan: Bis zum 31. Oktober 2023 können Erstzertifizierungen noch nach dem alten Standard durchgeführt werden. Darüber hinaus werden Erstzertifizierungen ausschließlich nach der aktuellen Version von Zertifizierungsstellen angeboten. Daher der dringende Hinweis, sich dieser Zeitleiste bei der ISMS-Einführung bewusst zu sein.

Eine Erstzertifizierung nach dem alten ISO-Standard bedeutet im Nachgang mehr Aufwand: Bei der Umstellung auf die neue Version, die zwangsläufig folgen muss, müssen die Dokumente redaktionell angepasst werden, ggf. muss auch das System für die Darstellung des ISMS gänzlich überarbeitet werden. Sich bis zum Ablauf der Frist mit dem Thema Aufschub zu gewähren, ist auch keine empfehlenswerte Strategie. Ein Rezertifizierungsaudit auf einen grundlegend veränderten Standard durchzuführen, birgt mehr Risiken als eine schrittweise Angleichung der Prozesse und Dokumente über den Zeitverlauf, da die neuen Anforderungen vielleicht noch nicht ganz in „Fleisch und Blut“ der Organisation übergegangen sind. Ganz im Sinne der ISO-Norm stellt auch hier die stetige Verbesserung der Vorhaben im ISMS einen wesentlichen Baustein dar. Es bewährt sich, mehrere KVP-Schleifen durchlaufen zu haben, bevor das ISMS in einem externen Zertifizierungsaudit auf den Prüfstand gestellt wird.

Verunsichert aufgrund der vielen Neuerungen von ISO 27001:2022? Kein Problem!

Bestehen bei Ihnen Unsicherheiten hinsichtlich dieser neuen Normversion? Als zertifizierte Berater:innen im Umfeld der Informationssicherheit helfen wir Ihnen als Team Information Security von affinis dabei, die neuen Themenkomplexe mit den notwendigen Schritten auf Kurs zu bringen.

Gibt es bereits konkrete Planungen oder wurden Vorhaben umgesetzt und müssen jetzt auf ihre Wirksamkeit geprüft werden? Auch hier stehen wir gerne mit der Durchführung von Prüfungen im Rahmen von internen Audits oder Management-Reviews zur Seite, um Ihnen ein unabhängiges Urteil hinsichtlich der „Readiness for ISO 27001:2022“ zu geben.