Gegenüberstellung ISO 27001:2022 vs ISO 27001:2013

Was hat sich geändert

Eine ausführliche Gegenüberstellung der ISO 27001 finden Sie in der Tabelle [Gegenüberstellung ISO 27001:2022 vs ISO 27001:2013]. Da diese sehr umfangreich ist, haben Sie die Möglichkeit diese in Excel zu importieren. Die neueste Revision der ISO 27001, die ISO 27001:2022, bringt einige bemerkenswerte Änderungen mit sich, wobei der Hauptteil der Norm größtenteils gleichgeblieben ist. Kleinere inhaltliche Anpassungen betreffen die Definition interessierter Parteien, die nun differenzierter betrachtet werden können, sowie strengere Anforderungen an die betriebliche Planung und Steuerung, um die Informationssicherheit innerhalb der Organisationen zu verbessern. Zudem gibt es eine neue Vorgabe für das Management von Änderungen am ISMS, die eine strukturierte und kontrollierte Vorgehensweise erfordert.

Key Facts: ISO 27001 – Gegenüberstellung und Einordnung

Aktualisierte Annex-A-Struktur
Die neue Version von ISO 27001 (2022) beinhaltet eine überarbeitete Annex A, die jetzt stärker auf die revidierte ISO 27002:2022 abgestimmt ist. Controls wurden zusammengelegt, umbenannt oder neu hinzugefügt (z. B. „Threat Intelligence“).
Schlankere & modernisierte Controls
Statt ursprünglich 114 Controls (2013) sind es nun 93 in ISO 27001:2022. Diese sind in 4 Themenbereiche („People“, „Physical“, „Technological“ und „Organizational“) gruppiert, was den Überblick erleichtert.
Bessere Abdeckung neuer Risiken
Die 2022er-Version adressiert aktuelle Bedrohungen wie Cloud-Security, Datenschutz, Zero-Trust und Cyberangriffe. Unternehmen können damit ein ISMS etablieren, das zeitgemäße Gefahren und Technologien berücksichtigt.
Kompatibilität durch High Level Structure (HLS)
Trotz der inhaltlichen Änderungen bleibt die Grundstruktur der Norm (Kapitel 0–10) erhalten. Unternehmen mit integriertem Managementsystem (z. B. ISO 9001, ISO 14001) profitieren vom einheitlichen Aufbau.
Übergangsfrist für bestehende Zertifikate
Firmen, die nach ISO 27001:2013 zertifiziert sind, haben in der Regel eine Übergangszeit (z. B. drei Jahre) für die Umstellung. So können sie das ISMS sukzessive an die neue Version anpassen.
Ziel: Flexiblere und effektivere Sicherheitsmaßnahmen
Mit weniger, aber präziseren Controls rückt die Umsetzbarkeit in den Vordergrund. Dadurch sollen Unternehmen pragmatischer agieren und ihr ISMS leichter pflegen können.

Überblick: Warum eine Revision?

Fortlaufende Aktualisierung
Cyber-Bedrohungen entwickeln sich rasant. Die Anpassung des Standards an neue technologische und organisatorische Anforderungen war daher dringend notwendig.
Angleichung an ISO/IEC 27002:2022
Zeitgleich zu ISO 27001 wurde auch ISO 27002 (Leitfaden zu den Controls) neu aufgelegt. ISO 27001:2022 spiegelt die Änderungen aus ISO 27002:2022 wider, sodass ISMS-Verantwortliche ihre Sicherheitsmaßnahmen am aktuellsten Wissensstand ausrichten können.
Erleichterung für Anwender

Die neue Version soll übersichtlicher sein, indem redundante Controls zusammengelegt und neue wichtige Controls ergänzt wurden. Das macht es für Unternehmen leichter, zeitgemäße Risiken abzudecken.

Änderungen im Anhang A:

Der deutlichste Wandel ist im Anhang A zu beobachten, wo die Anzahl der Sicherheitsmaßnahmen von 112 auf 93 reduziert wurde. Dies resultiert nicht in einer geringeren Komplexität, sondern in einer Konsolidierung einzelner Maßnahmen und der Einführung neuer, die den aktuellen digitalen Herausforderungen Rechnung tragen. Zu den wichtigen Ergänzungen gehören die Einführung von Threat Intelligence zur proaktiven Bedrohungserkennung, ein umfassenderes Information Asset Management, welches die Verwaltung von Informationswerten betont, sowie neue Anforderungen an das Web Filtering, Identity Management und die Nutzung von Cloud Diensten.

Reduzierung der Einzelmaßnahmen: Die Anzahl der Maßnahmen wurde von 112 auf 93 reduziert, wobei einige Maßnahmen zusammengelegt wurden.
Neue Maßnahmen: Es wurden neue Maßnahmen hinzugefügt, darunter Threat Intelligence, Information Asset Management, Web Filtering, Identity Management, Information Security bei Nutzung von Clouddiensten, Informationssicherheit während Ausfällen, Sicherheit im Home-Office, Event Reporting, Zugangsbeschränkungen gemäß Policy, Configuration Management, Data Masking, Löschkonzept und Data Leakage Prevention.

Wichtige neue Maßnahmen im Detail

Die neue Norm trägt der zunehmenden Verbreitung von Home-Office-Arbeitsplätzen Rechnung und stellt spezifische Anforderungen an die Informationssicherheit in diesen Umgebungen. Ebenfalls neu sind explizite Anforderungen an das Event Reporting, das sicherstellen soll, dass Mitarbeiter Sicherheitsvorfälle effektiv melden können. Weitere Neuerungen umfassen Vorgaben für das Configuration Management, Data Masking und ein Löschkonzept für alle Arten von Daten, nicht nur personenbezogene. Die Herausforderung der Data Leakage Prevention wird adressiert, indem Organisationen angehalten sind, mögliche Datenlecks zu identifizieren und entsprechende Gegenmaßnahmen zu ergreifen.

Threat Intelligence: Aktive Sammlung aufkommender Bedrohungen auf strategischer und operativer Ebene.
Information Asset Management: Explizite Regelung der Eigentümerschaft und des Zugangs zu Informationswerten.
Web Filtering: Management des Zugangs zu externen Webseiten zur Verhinderung von Malware-Downloads.
Identity Management: Umfassendes Management von Identitäten über ihren gesamten Lebenszyklus.
Informationssicherheit bei Nutzung von Cloud Dienste: Konkrete Anforderungen zur Datensicherheit bei Cloud-Wechseln.
Sicherheit im Home-Office: Regelungen zur Infrastruktur und Sicherheit im Home-Office.
Data Leakage Prevention: Maßnahmen zur Verhinderung des unbeabsichtigten Verlusts von geschützten Informationen.

Gegenüberstellung ISO 27001:2013 – ISO 27001:2022

ISO/IEC 27001:2022 Control Punkte	Control (Maßnahmen) ISO/IEC 27001:2022	ISO/IEC 27001:2013 Control Punkte	Control (Maßnahmen) nach ISO/IEC 27002:2013
5.1	Informationssicherheitsrichtlinien	5.1.1 5.1.2	Informationssicherheitsrichtlinien Überprüfung der Informationssicherheitsrichtlinien
5.2	Informationssicherheitsrollen und -verantwortlichkeiten	6.1.1	Informationssicherheitsrollen und -verantwortlichkeiten
5.3	Aufgabentrennung	6.1.2	Aufgabentrennung
5.4	Verantwortlichkeiten der Leitung	7.2.1	Verantwortlichkeiten der Leitung
5.5	Kontakt mit Behörden	6.1.3	Kontakt mit Behörden
5.6	Kontakt mit speziellen Interessensgruppen	6.1.4	Kontakt mit speziellen Interessensgruppen
5.7	Bedrohungsintelligenz	NEU
5.8	Informationssicherheit im Projektmanagement	6.1.5 14.1.1	Informationssicherheit im Projektmanagement Analyse und Spezifikation von Informationssicherheitsanforderungen
5.9	Inventar der Informationen und anderen damit verbundenen Werten	8.1.1 8.1.2	Inventarisierung der Werte Zuständigkeit für Werte
5.10	Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten	8.1.3 8.2.3	Zulässiger Gebrauch von Werten Handhabung von Werten
5.11	Rückgabe von Werten	8.1.4	Rückgabe von Werten
5.12	Klassifizierung von Information	8.2.1	Klassifizierung von Information
5.13	Kennzeichnung von Information	8.2.2	Kennzeichnung von Information
5.14	Informationsübertragung	13.2.1 13.2.2 13.2.3	Richtlinien und Verfahren für die Informationsübertragung Vereinbarungen zur Informationsübertragung Elektronische Nachrichtenübermittlung
5.15	Zugangssteuerung	9.1.1 9.1.2	Zugangssteuerungsrichtlinie Zugang zu Netzwerken und Netzwerkdiensten
5.16	Identitätsmanagement	9.2.1	Registrierung und Deregistrierung von Benutzern
5.17	Informationen zur Authentifizierung	9.2.4 9.3.1 9.4.3	Verwaltung geheimer Authentisierungsinformation von Benutzern Gebrauch geheimer Authentisierungsinformation System zur Verwaltung von Kennwörtern
5.18	Zugangsrechte	9.2.2 9.2.5 9.2.6	Zuteilung von Benutzerzugängen Überprüfung von Benutzerzugangsrechten Entzug oder Anpassung von Zugangsrechten
5.19	Informationssicherheit in Lieferantenbeziehungen	15.1.1	Informationssicherheitsrichtlinie für Lieferantenbeziehungen
5.20	Behandlung von Informationssicherheit in Lieferantenvereinbarungen	15.1.2	Behandlung von Sicherheit in Lieferantenvereinbarungen
5.21	Umgang mit der Informationssicherheit in der IKT-Lieferkette	15.1.3	Lieferkette für Informations- und Kommunikationstechnologie
5.22	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen	15.2.1 15.2.2	Überwachung und Überprüfung von Lieferantendienstleistungen Handhabung der Änderungen von Lieferantendienstleistungen
5.23	Informationssicherheit für die Nutzung von Cloud-Diensten	NEU
5.24	Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen	16.1.1	Verantwortlichkeiten und Verfahren
5.25	Beurteilung und Entscheidung über Informationssicherheitsereignisse	16.1.4	Beurteilung von und Entscheidung über Informationssicherheitsereignisse
5.26	Reaktion auf Informationssicherheitsvorfälle	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	Erkenntnisse aus Informationssicherheitsvorfällen	16.1.6	Erkenntnisse aus Informationssicherheitsvorfällen
5.28	Sammeln von Beweismaterial	16.1.7	Sammeln von Beweismaterial
5.29	Informationssicherheit bei Störungen	17.1.1 17.1.2 17.1.3	Planung zur Aufrechterhaltung der Informationssicherheit Umsetzung der Aufrechterhaltung der Informationssicherheit Überprüfen und Bewerten der Aufrechterhaltung der Informationssicherheit
5.30	IKT-Bereitschaft für Business Continuity	NEU
5.31	Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen	18.1.1 18.1.5	Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen Regelungen bezüglich kryptographischer Maßnahmen
5.32	Geistige Eigentumsrechte	18.1.2	Geistige Eigentumsrechte
5.33	Schutz von Aufzeichnungen	18.1.3	Schutz von Aufzeichnungen
5.34	Datenschutz und Schutz personenbezogener Daten (pbD)	18.1.4	Privatsphäre und Schutz von personenbezogener Information
5.35	Unabhängige Überprüfung der Informationssicherheit	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit	18.2.2 18.2.3	Einhaltung von Sicherheitsrichtlinien und -standards Überprüfung der Einhaltung von technischen Vorgaben
5.37	Dokumentierte Betriebsabläufe	12.1.1	Dokumentierte Betriebsabläufe
6 Personenbezogene Maßnahmen
6.1	Sicherheitsüberprüfung	7.1.1	Sicherheitsüberprüfung
6.2	Beschäftigungs- und Vertragsbedingungen	7.1.2	Beschäftigungs- und Vertragsbedingungen
6.3	Informationssicherheitsbewusstsein, -ausbildung und -schulung	7.2.2	Informationssicherheitsbewusstsein, -ausbildung und -schulung
6.4	Maßregelungsprozess	7.2.3	Maßregelungsprozess
6.5	Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung	7.3.1	Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung
6.6	Vertraulichkeits- oder Geheimhaltungsvereinbarungen	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	Telearbeit	6.2.2	Telearbeit
6.8	Meldung von Informationssicherheitsereignissen	16.1.2 16.1.3	Meldung von Informationssicherheitsereignissen Meldung von Schwächen in der Informationssicherheit
7 Physische Maßnahmen	Physische Maßnahmen
7.1	Physische Sicherheitsperimeter	11.1.1	Physische Sicherheitsperimeter
7.2	Physischer Zutritt	11.1.2 11.1.6	Physische Zutrittssteuerung Anlieferungs- und Ladebereiche
7.3	Sichern von Büros, Räumen und Einrichtungen	11.1.3	Sichern von Büros, Räumen und Einrichtungen
7.4	Physische Sicherheitsüberwachung	NEU
7.5	Schutz vor physischen und umweltbedingten Bedrohungen	11.1.4	Schutz vor externen und umweltbedingten Bedrohungen
7.6	Arbeiten in Sicherheitsbereichen	11.1.5	Arbeiten in Sicherheitsbereichen
7.7	Aufgeräumte Arbeitsumgebung und Bildschirmsperren	11.2.9	Richtlinien für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren
7.8	Platzierung und Schutz von Geräten und Betriebsmitteln	11.2.1	Platzierung und Schutz von Geräten und Betriebsmitteln
7.9	Sicherheit von Werten außerhalb der Räumlichkeiten	11.2.6	Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten
7.10	Speichermedien	8.3.1 8.3.2 8.3.3 11.2.5	Handhabung von Wechseldatenträgern Entsorgung von Datenträgern Transport von Datenträgern Entfernen von Werten
7.11	Versorgungseinrichtungen	11.2.2	Versorgungseinrichtungen
7.12	Sicherheit der Verkabelung	11.2.3	Sicherheit der Verkabelung
7.13	Instandhaltung von Geräten und Betriebsmitteln	11.2.4	Instandhaltung von Geräten und Betriebsmitteln
7.14	Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln
8 Technologische Maßnahmen	Technologische Maßnahmen
8.1	Endpunktgeräte des Benutzers	6.2.1 11.2.8	Richtlinie zu Mobilgeräten Unbeaufsichtigte Benutzergeräte
8.2	Privilegierte Zugangsrechte	9.2.3	Verwaltung privilegierter Zugangsrechte
8.3	Informationszugangsbeschränkung	9.4.1	Informationszugangsbeschränkung
8.4	Zugriff auf den Quellcode	9.4.5	Zugangssteuerung für Quellcode von Programmen
8.5	Sichere Authentifizierung	9.4.2	Sichere Anmeldeverfahren
8.6	Kapazitätssteuerung	12.1.3	Kapazitätssteuerung
8.7	Schutz gegen Schadsoftware	12.2.1	Maßnahmen gegen Schadsoftware
8.8	Handhabung von technischen Schwachstellen	12.6.1 18.2.3	Handhabung von technischen Schwachstellen Überprüfung der Einhaltung von technischen Vorgaben
8.9	Konfigurationsmanagement	NEU
8.10	Löschung von Informationen	NEU
8.11	Datenmaskierung	NEU
8.12	Verhinderung von Datenlecks	NEU
8.13	Sicherung von Information	12.3.1	Sicherung von Information
8.14	Redundanz von informationsverarbeitenden Einrichtungen	17.2.1	Verfügbarkeit von informationsverarbeitenden Einrichtungen
8.15	Protokollierung	12.4.1 12.4.2 12.4.3	Ereignisprotokollierung Schutz der Protokollinformation Administratoren- und Bedienerprotokolle
8.16	Überwachungstätigkeiten	NEU
8.17	Uhrensynchronisation	12.4.4	Uhrensynchronisation
8.18	Gebrauch von Hilfsprogrammen mit privilegierten Rechten	9.4.4	Gebrauch von Hilfsprogrammen mit privilegierten Rechten
8.19	Installation von Software auf Systemen im Betrieb	12.5.1 12.6.2	Installation von Software auf Systemen im Betrieb Einschränkungen von Softwareinstallation
8.20	Netzwerksicherheit	13.1.1	Netzwerksteuerungsmaßnahmen
8.21	Sicherheit von Netzwerkdiensten	13.1.2	Sicherheit von Netzwerkdiensten
8.22	Trennung von Netzwerken	13.1.3	Trennung in Netzwerken
8.23	Webfilterung	NEU
8.24	Verwendung von Kryptographie	10.1.1 10.1.2	Richtlinie zum Gebrauch von kryptographischen Maßnahmen Schlüsselverwaltung
8.25	Lebenszyklus einer sicheren Entwicklung	14.2.1	Richtlinie für sichere Entwicklung
8.26	Anforderungen an die Anwendungssicherheit	14.1.2 14.1.3	Sicherung von Anwendungsdiensten in öffentlichen Netzen Schutz der Transaktionen bei Anwendungsdiensten
8.27	Sichere Systemarchitektur und technische Grundsätze	14.2.5	Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme
8.28	Sicheres Coding	NEU
8.29	Sicherheitsprüfung bei Entwicklung und Abnahme	14.2.8 14.2.9	Testen der Systemsicherheit Systemabnahmetest
8.30	Ausgegliederte Entwicklung	14.2.7	Ausgegliederte Entwicklung
8.31	Trennung von Entwicklungs-, Prüf- und Produktionsumgebungen	12.1.4 14.2.6	Trennung von Entwicklungs-, Test- und Betriebsumgebungen Sichere Entwicklungsumgebung
8.32	Änderungssteuerung	12.1.2 14.2.2 14.2.3 14.2.4	Änderungssteuerung Verfahren zur Verwaltung von Systemänderungen Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform Beschränkung von Änderungen an Softwarepaketen
8.33	Prüfinformationen	14.3.1	Schutz von Testdaten
8.34	Schutz der Informationssysteme während der Überwachungsprüfung	12.7.1	Maßnahmen für Audits von Informationssystemen

Tabelle: Gegenüberstellung ISO 27001:2022 vs. ISO 27001:2013

Für bestehende zertifizierte Organisationen gibt es eine Übergangsfrist, um sich an die neue ISO 27001:2022 anzupassen. Die Änderungen spiegeln die dynamischen Entwicklungen im Bereich der Informationssicherheit wider und stellen sicher, dass die Norm weiterhin ein relevanter und wirksamer Rahmen für die Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit von Informationssystemen bleibt.

Managementsystem-Teil: Was bleibt gleich?

High-Level Structure (HLS)
Der Managementsystem-Aufbau (Kapitel 4 bis 10) bleibt im Großen und Ganzen identisch. Organisationen, die sich bereits nach ISO 27001:2013 zertifizieren ließen, müssen ihr ISMS nicht komplett neu aufsetzen, sondern nur punktuell anpassen.
Plan-Do-Check-Act (PDCA) und risikobasierter Ansatz
Die Kernprinzipien bleiben unverändert. Auch weiterhin stehen die kontinuierliche Verbesserung, die Einbindung des Top-Managements und die systematische Risikoanalyse im Vordergrund.
Anforderungen an Dokumentation und Umsetzung
Es gelten nach wie vor die bekannten Vorgaben: Unternehmen müssen den Geltungsbereich des ISMS definieren, ein Risikomanagement einführen und angemessene Richtlinien sowie Verfahren etablieren.

FAQ – Gegenüberstellung ISO 27001

1. Welche Hauptunterschiede gibt es zwischen der 2022er- und 2013er-Version?

1. Anzahl und Struktur der Controls: In Annex A wurden viele Controls zusammengefasst und in vier thematische Gruppen eingeteilt.
2. Modernisierte Inhalte: Mehr Fokus auf Themen wie Cloud Security, Threat Intelligence, Datenaustausch und Zero Trust.
3. Sprache und Benennung: Viele Controls erhielten neue Bezeichnungen oder wurden aktualisiert, um gängige Praxisbegriffe besser zu spiegeln.

2. Wie lange habe ich Zeit, von ISO 27001:2013 auf 2022 umzusteigen?

In der Regel gibt die ISO-Organisation (bzw. nationale Akkreditierungsstellen) eine Übergangsfrist von etwa drei Jahren vor. Du solltest die genauen Fristen jedoch mit deiner Zertifizierungsstelle abstimmen, da es länderspezifische Feinheiten geben kann.

3. Muss ich mein gesamtes ISMS neu aufsetzen?

Nein. Die Kapitelstruktur (0–10) der Norm bleibt gleich, und viele bewährte Prozesse kannst du weiterverwenden. Der größte Anpassungsaufwand betrifft Annex A, da hier Controls neu sortiert oder zusammengelegt wurden. Eine gründliche Gap-Analyse hilft, den konkreten Handlungsbedarf zu ermitteln.

4. Was sind die wichtigsten neuen Controls?

1. Threat Intelligence (z. B. systematische Erfassung von Bedrohungsinformationen)
2. Data Masking (z. B. für Datenschutz und Tests)
3. Monitoring Activities (kontinuierliche Überwachung von Systemen)
4. Web Filtering (erweitertes Konzept zum Schutz vor Web-basierenden Angriffen)
Diese Themen schließen Lücken, die in der Vorgängerversion weniger konkret beschrieben waren.

5. Was passiert mit Controls, die in der 2013er-Version enthalten waren, aber jetzt fehlen?

Einige Controls wurden gestrichen oder in andere Controls integriert. Meist liegen dahinter Inhalte, die doppelt waren oder sich überschneiden. In ISO 27001:2022 sind sie nun kompakter zusammengefasst. Wichtig ist eine sorgfältige Überprüfung, ob du noch alle relevanten Aspekte abdeckst.

6. Welche Vorteile hat eine Umstellung auf die neue Version?

1. Aktualität: Du deckst moderne IT-Bedrohungen ab.
2. Übersichtlichkeit: Weniger, aber präziser formulierte Controls.
3. Flexibilität: Die Norm fördert anpassungsfähige Maßnahmen, damit du schneller auf technische Veränderungen reagieren kannst.
3. Konformität: Nach Ablauf der Übergangsfrist kann dein altes Zertifikat ungültig werden, also sicherst du so deine Zertifizierungs-Compliance.

7. Erhöht sich durch die Neuerungen der Aufwand für Zertifizierung oder Rezertifizierung?

Der Aufwand steigt in der Übergangsphase leicht, weil du bestehende Prozesse und Dokumentationen anpassen musst. Langfristig kann das verschlankte Annex A aber zu weniger Aufwand führen, da das ISMS strukturierter und klarer wird. Eine gute Vorbereitung und enges Zusammenwirken mit Beratern oder internen Fachteams reduzieren die Umstellungszeit.

8. Was passiert, wenn ich die Umstellung nicht fristgerecht vornehme?

Dein Zertifikat nach ISO 27001:2013 verliert nach Ablauf der Übergangsfrist seine Gültigkeit. Außerdem riskierst du Reputationsverluste, wenn Kunden oder Geschäftspartner auf ein aktuelles Zertifikat Wert legen. Es empfiehlt sich daher, frühzeitig mit der Migration zu beginnen.

9. Wie unterstützt SMCT Management bei der Migration von 2013 auf 2022?

1. Gap-Analyse: Wir identifizieren, wo dein ISMS noch Lücken hat.
2. Projektplanung: Gemeinsam legen wir Meilensteine für die Umstellung fest.
3. Dokumentationsanpassung: Wir helfen, die neuen Controls umzusetzen und in deine bestehende Struktur zu integrieren.
4. Schulungen & Workshops: Dein Team wird für die Neuerungen sensibilisiert.
5. Auditbegleitung: Wir begleiten dich bis zur erfolgreichen Rezertifizierung.

10. Gibt es Synergien mit anderen Normen (z. B. ISO 9001, ISO 14001)?

Ja, da die High Level Structure (HLS) erhalten bleibt, kannst du ISO 27001:2022 weiterhin leicht mit anderen ISO-Normen integrieren. Das spart Dokumentationsaufwand und erleichtert das Management von Qualität, Umwelt und Informationssicherheit in einem einheitlichen System.

Fazit – Evolution statt Revolution

ISO/IEC 27001:2022 bringt vorrangig Veränderungen in Annex A und zielt damit auf zeitgemäße Sicherheitsanforderungen ab. Das grundlegende Managementsystem-Konzept bleibt bestehen, was den Umstieg für bereits zertifizierte Unternehmen überschaubar macht. Dennoch sollten Organisationen den Wechsel zum Anlass nehmen, ihr ISMS umfassend zu prüfen und gezielt weiterzuentwickeln. Dank neuer Controls und einer optimierten Gliederung in Annex A bietet die 2022er-Version mehr Flexibilität und bessere Orientierung, insbesondere wenn es um moderne Risiken wie Cloud-Nutzung, Data Leakage Prevention oder Threat Intelligence geht.

Wer auf dem aktuellen Stand der Technik bleiben und bei Audits langfristig sicher aufgestellt sein möchte, sollte sich rechtzeitig mit den Neuerungen auseinandersetzen. So wird aus dem Revisionsprozess eine Chance, die eigene Informationssicherheit weiter zu professionalisieren – ganz ohne unnötigen Mehraufwand.