Die neue Normversion ISO/IEC 27001:2022

Was muss man wissen?

Wichtig:
 

1. Die Übergangszeit beträgt 3 Jahre und endet am 31.10.2025.
   Innerhalb dieser Zeit müssen zertifizierte Informationssicherheitsmanagementsysteme (ISMS) von der Version 2013 auf die Version 2022 umgestellt werden.
2. Zertifikate nach ISO /IEC 27001:2013 sind nur bis am 31.10.2025 gültig.
3. Erstzertifizierungen und Rezertifizierungen nach ISO/IEC 27001:2013 sind bis zum 30.04.2024 möglich (= spätestes Datum für den Beginn des Stufe 1 Audits).
   Die Zertifikate sind maximal bis am 31.10.2025 gültig.
4. Überwachungsaudits können bis am 31.10.2025 nach ISO/IEC  27001:2013 durchgeführt werden.

Grundsätzlich hat der Standard selbst nur marginale Änderungen erfahren. Betrachtet man beispielsweise das Inhaltsverzeichnis, fällt auf, dass die Kapitel 9.2 (Internal Audit) sowie 9.3 (Management Review) Unterkapitel erhalten haben. Zudem haben die Kapitel 10.1 (Neu: Continual improvement) und 10.2 (Neu: Nonconformity and corrective Action) ihre Positionen gewechselt. Weiter ist das Kapitel 6.3 (Planning of Changes) neu hinzugekommen. Ansonsten hat sich – an der Norm selbst – inhaltlich und strukturell nur wenig gegenüber der Vorgängerversion geändert.
Die Änderungen findet man primär im Anhang A - Massnahmenziele und Massnahmen, sie ergeben sich aus der ISO/IEC 27002:2022, die im Februar publiziert wurde.

 

Kapitel 4:

In Kapitel 4.2 (Understanding the needs and expectations of interested parties) wurde ein weiterer Punkt (c) ergänzt: Die Organisation muss festlegen, welche dieser Anforderungen durch das Informationssicherheits-Managementsystem (ISMS) erfüllt werden sollen.

In Kapitel 4.4 (ISMS) wurden die bestehenden Anforderungen um einen gewichtigen Teil ergänzt: 

«Die Organisation muss in Übereinstimmung mit den Anforderungen dieses Dokuments ein ISMS einrichten, umsetzen, aufrechterhalten und kontinuierlich verbessern, einschliesslich der erforderlichen Prozesse und ihrer Wechselwirkungen.»

Kapitel 5:

Die neue ISO 27001:2022 fordert in Abschnitt 5.3 (Rollen, Verantwortlichkeiten und Befugnisse in der Organisation (Organizational roles, responsibilities and authorities)) von Unternehmen, dass die Verantwortlichkeiten und Befugnisse für Rollen mit Bezug zur Informationssicherheit innerhalb der Organisation bekannt gemacht werden.

Kapitel 6:

In Kapitel 6.1.3 (Information security risk treatment) wurde eine Fussnote mit Verweis auf ISO 31000 gesetzt, mit Verweis auf den dort gesetzten Prinzipen zum Risikomanagement.
Die neue Version unterstreicht zudem die Öffnung des Managementsystemrahmens für organisationsspezifische Massnahmensätze.

In Kapitel 6.2 (Information security objectives and planning to achieve) wurde zu den Informationssicherheitszielen «überwacht» (Punkt d) und «als dokumentierte Informationen verfügbar sein» (Punkt g) ergänzt.

Im neuen Kapitel 6.3: «Planning of changes». wird verlangt:

Wenn die Organisation feststellt, dass Änderungen am ISMS notwendig sind, müssen die Änderungen geplant durchgeführt werden.» Eine Selbstverständlichkeit, die nun auch als zwingende Anforderung in der Norm festgehalten ist.

Kapitel 7:

In Kapitel 7.4 (Communication / Kommunikation) wurden die Punkte d) und e) zusammengefasst 
Im Abschnitt 7.4 (Kommunikation (Communication)) regelt die Norm die interne und externe Kommunikation im Rahmen des ISMS. Weiterhin müssen Festlegungen zum Worüber, Wann mit Wem und Wer getroffen werden. Hinzukommt nun noch das „Wie“ der Kommunikation.

Kapitel 8:

Einige Modifikationen hat das Kapitel 8.1 (Operational planning and control) erfahren. Es wird verlangt, dass zur Steuerung Kriterien für die Prozesse festgelegt und Kontrollen in Übereinstimmung mit diesen durchgeführt werden müssen. Weiter müssen Dokumentationen so verfügbar sein, dass damit ein Nachweis über die korrekte Funktionsweise der Prozesse möglich ist. Auch wird auf extern bezogene Prozesse hingewiesen: «Extern bereitgestellte Prozesse, Produkte oder Dienstleistungen, welche relevant für das ISMS sind, müssen kontrolliert werden.»

Kapitel 9:

In Kapitel 9.1 (Monitoring, measurement, analysis and evaluation) wurden die Sätze umgestellt.

Das Kapitel 9.2 (Internal audit) wurde komplett neu unterteilt: Es hat nun die Kapitel 9.2.1 (General) und 9.2.2 (Internal audit programme). Inhaltlich hat sich nichts verändert.

Analoges gilt auch für das Kapitel 9.3 (Management review): Es ist unterteilt in 9.3.1 (General), 9.3.2 (Management review inputs) und 9.3.3 (Management review results). Dazu gekommen ist in 9.3.2, dass auch Änderungen der Bedürfnisse und Erwartungen der interessierten Parteien, die für das ISMS relevant sind, behandelt werden müssen (Punkt c).

Kapitel 10:

Wie bereits erwähnt, haben die Kapitel 10.1 und 10.2 ihre Positionen gewechselt. Inhaltlich hat sich aber auch hier nichts geändert. Die Bedeutung des kontinuierlichen Verbesserungsprozesses (KVP) wird mit dieser Änderung noch einmal hervorgehoben.
 

 

ISO/IEC 27001:2022 – aktualisierte Sicherheitskontrollen im Anhang A

Relevante Anpassungen hat der Anhang A erhalten. Dabei wurden die Massnahmen (Controls) aktualisiert und neu strukturiert. Anstelle von 114 sind es nun «nur» noch 93 Massnahmen.
Elf neue Massnahmen sind dazu gekommen sind und nur eine Massnahme wurde gestrichen.
Einige der Massnahmen wurden zusammengefasst.

Neu hinzugekommen sind folgende elf Massnahmen, die sich um aktuelle Themen wie Cloud-Sicherheit, Threat Intelligence und datenschutzverwandte Themen kümmern:

• • A.5.7 Threat intelligence
  • A.5.23 Information security for use of cloud services
  • A.5.30 ICT readiness for business continuity
  • A.7.4 Physical security monitoring
  • A.8.9 Configuration management
  • A.8.10 Information deletion
  • A.8.11 Data masking
  • A.8.12 Data leakage prevention
  • A.8.16 Monitoring activities
  • A.8.23 Web filtering
  • A.8.28 Secure coding

 

Erläuterung der 11 neuen Massnahmen:

• • A.5.7 Bedrohungsintelligenz (Threat Intelligence)
    Es sollen Bedrohungsinformationen gesammelt und analysiert werden, um Schutzmassnahmen zu bestimmen.
  • A.5.23 Nutzung von Cloud-Diensten (Cloud Services)
    Mit dieser Massnahme ist der sichere Prozess für Onboarding, Nutzung, Verwaltung sowie Ausstieg bei Cloud Anbietern sicherzustellen.
  • A.5.30 IKT-Bereitschaft für Business Continuity (Business Continuity)
    Diese Massnahme beinhaltet Anforderungen an Wiederherstellungsmassnahmen. Dabei liegt der neue Fokus auf technischen Massnahmen.
  • A.7.4 Physische Sicherheitsüberwachung (Physical Security Monitoring)
    Zur Abschreckung und dem Schutz vor unbefugtem Zugriff sollen Überwachungsmassnahmen, Einbruchsalarme etc. eingerichtet werden.
  • A.8.9 Konfigurationsmanagement (Configuration Management)
    Die korrekte Einstellung von Sicherheitsmassnahmen und Sicherung der Konfiguration wird hierdurch ermöglicht.
  • A.8.10 Löschung von Informationen (Information Deletion)
    Diese Massnahme beinhaltet die Anforderungen zur Datenspeicherung im Hinblick auf DSGVO sowie GDPR.
  • A.8.11 Datenmaskierung (Data Masking)
    In dieser Massnahme geht es um die Beschränkung, Anonymisierung sowie Pseudonymisierung von Daten.
  • A.8.12 Verhinderung von Datenlecks (Data Leakage Prevention)
    Diese Sicherheitsmassnahme dient der Überwachung und Erkennung von Datenverlust / Offenlegung / Datenleck.
  • A.8.16 Überwachung von Aktivitäten (Monitoring)
    Abweichende Aktivitäten müssen proaktiv überwacht werden.
  • A.8.23 Webfilterung (Web Filtering)
    Mit dieser Massnahme sollen gefährlichen Webseiten, die Malware verbreiten oder aber unbefugt Daten auslesen, ausgefiltert werden.
  • A.8.28 Sicheres Coding (Secure Coding)
    Hierbei geht es um die sichere Kodierung ohne Schwachstellen oder Anfälligkeit für Angriffe.

 

Die zur 2700x-Familie gehörende Norm ISO 27002 wurde bereits Mitte Februar 2022 veröffentlicht.
Die 27002 gibt dabei eine Übersicht an «Good Practise» für die praktische Umsetzung der Forderungen aus ISO/IEC 27001:2022.