Eine ausführliche Gegenüberstellung der ISO 27001 finden Sie in der Tabelle [Gegenüberstellung ISO 27001:2022 vs ISO 27001:2013]. Da diese sehr umfangreich ist, haben Sie die Möglichkeit diese in Excel zu importieren. Die neueste Revision der ISO 27001, die ISO 27001:2022, bringt einige bemerkenswerte Änderungen mit sich, wobei der Hauptteil der Norm größtenteils gleichgeblieben ist. Kleinere inhaltliche Anpassungen betreffen die Definition interessierter Parteien, die nun differenzierter betrachtet werden können, sowie strengere Anforderungen an die betriebliche Planung und Steuerung, um die Informationssicherheit innerhalb der Organisationen zu verbessern. Zudem gibt es eine neue Vorgabe für das Management von Änderungen am ISMS, die eine strukturierte und kontrollierte Vorgehensweise erfordert.
Änderungen im Anhang A:
Der deutlichste Wandel ist im Anhang A zu beobachten, wo die Anzahl der Sicherheitsmaßnahmen von 112 auf 93 reduziert wurde. Dies resultiert nicht in einer geringeren Komplexität, sondern in einer Konsolidierung einzelner Maßnahmen und der Einführung neuer, die den aktuellen digitalen Herausforderungen Rechnung tragen. Zu den wichtigen Ergänzungen gehören die Einführung von Threat Intelligence zur proaktiven Bedrohungserkennung, ein umfassenderes Information Asset Management, welches die Verwaltung von Informationswerten betont, sowie neue Anforderungen an das Web Filtering, Identity Management und die Nutzung von Cloud Diensten.
Wichtige neue Maßnahmen im Detail
Die neue Norm trägt der zunehmenden Verbreitung von Home-Office-Arbeitsplätzen Rechnung und stellt spezifische Anforderungen an die Informationssicherheit in diesen Umgebungen. Ebenfalls neu sind explizite Anforderungen an das Event Reporting, das sicherstellen soll, dass Mitarbeiter Sicherheitsvorfälle effektiv melden können. Weitere Neuerungen umfassen Vorgaben für das Configuration Management, Data Masking und ein Löschkonzept für alle Arten von Daten, nicht nur personenbezogene. Die Herausforderung der Data Leakage Prevention wird adressiert, indem Organisationen angehalten sind, mögliche Datenlecks zu identifizieren und entsprechende Gegenmaßnahmen zu ergreifen.
Gegenüberstellung ISO 27001
| ISO/IEC 27001:2022 Control Punkte | Control (Maßnahmen) ISO/IEC 27001:2022 | ISO/IEC 27001:2013 Control Punkte | Control (Maßnahmen) nach ISO/IEC 27002:2013 |
|---|---|---|---|
| 5.1 | Informationssicherheitsrichtlinien | 5.1.1 5.1.2 | Informationssicherheitsrichtlinien Überprüfung der Informationssicherheitsrichtlinien |
| 5.2 | Informationssicherheitsrollen und -verantwortlichkeiten | 6.1.1 | Informationssicherheitsrollen und -verantwortlichkeiten |
| 5.3 | Aufgabentrennung | 6.1.2 | Aufgabentrennung |
| 5.4 | Verantwortlichkeiten der Leitung | 7.2.1 | Verantwortlichkeiten der Leitung |
| 5.5 | Kontakt mit Behörden | 6.1.3 | Kontakt mit Behörden |
| 5.6 | Kontakt mit speziellen Interessensgruppen | 6.1.4 | Kontakt mit speziellen Interessensgruppen |
| 5.7 | Bedrohungsintelligenz | NEU | |
| 5.8 | Informationssicherheit im Projektmanagement | 6.1.5 14.1.1 | Informationssicherheit im Projektmanagement Analyse und Spezifikation von Informationssicherheitsanforderungen |
| 5.9 | Inventar der Informationen und anderen damit verbundenen Werten | 8.1.1 8.1.2 | Inventarisierung der Werte Zuständigkeit für Werte |
| 5.10 | Zulässiger Gebrauch von Informationen und anderen damit verbundenen Werten | 8.1.3 8.2.3 | Zulässiger Gebrauch von Werten Handhabung von Werten |
| 5.11 | Rückgabe von Werten | 8.1.4 | Rückgabe von Werten |
| 5.12 | Klassifizierung von Information | 8.2.1 | Klassifizierung von Information |
| 5.13 | Kennzeichnung von Information | 8.2.2 | Kennzeichnung von Information |
| 5.14 | Informationsübertragung | 13.2.1 13.2.2 13.2.3 | Richtlinien und Verfahren für die Informationsübertragung Vereinbarungen zur Informationsübertragung Elektronische Nachrichtenübermittlung |
| 5.15 | Zugangssteuerung | 9.1.1 9.1.2 | Zugangssteuerungsrichtlinie Zugang zu Netzwerken und Netzwerkdiensten |
| 5.16 | Identitätsmanagement | 9.2.1 | Registrierung und Deregistrierung von Benutzern |
| 5.17 | Informationen zur Authentifizierung | 9.2.4 9.3.1 9.4.3 | Verwaltung geheimer Authentisierungsinformation von Benutzern Gebrauch geheimer Authentisierungsinformation System zur Verwaltung von Kennwörtern |
| 5.18 | Zugangsrechte | 9.2.2 9.2.5 9.2.6 | Zuteilung von Benutzerzugängen Überprüfung von Benutzerzugangsrechten Entzug oder Anpassung von Zugangsrechten |
| 5.19 | Informationssicherheit in Lieferantenbeziehungen | 15.1.1 | Informationssicherheitsrichtlinie für Lieferantenbeziehungen |
| 5.20 | Behandlung von Informationssicherheit in Lieferantenvereinbarungen | 15.1.2 | Behandlung von Sicherheit in Lieferantenvereinbarungen |
| 5.21 | Umgang mit der Informationssicherheit in der IKT-Lieferkette | 15.1.3 | Lieferkette für Informations- und Kommunikationstechnologie |
| 5.22 | Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen | 15.2.1 15.2.2 | Überwachung und Überprüfung von Lieferantendienstleistungen Handhabung der Änderungen von Lieferantendienstleistungen |
| 5.23 | Informationssicherheit für die Nutzung von Cloud-Diensten | NEU | |
| 5.24 | Planung und Vorbereitung der Handhabung von Informationssicherheitsvorfällen | 16.1.1 | Verantwortlichkeiten und Verfahren |
| 5.25 | Beurteilung und Entscheidung über Informationssicherheitsereignisse | 16.1.4 | Beurteilung von und Entscheidung über Informationssicherheitsereignisse |
| 5.26 | Reaktion auf Informationssicherheitsvorfälle | 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| 5.27 | Erkenntnisse aus Informationssicherheitsvorfällen | 16.1.6 | Erkenntnisse aus Informationssicherheitsvorfällen |
| 5.28 | Sammeln von Beweismaterial | 16.1.7 | Sammeln von Beweismaterial |
| 5.29 | Informationssicherheit bei Störungen | 17.1.1 17.1.2 17.1.3 | Planung zur Aufrechterhaltung der Informationssicherheit Umsetzung der Aufrechterhaltung der Informationssicherheit Überprüfen und Bewerten der Aufrechterhaltung der Informationssicherheit |
| 5.30 | IKT-Bereitschaft für Business Continuity | NEU | |
| 5.31 | Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen | 18.1.1 18.1.5 | Bestimmung der anwendbaren Gesetzgebung und der vertraglichen Anforderungen Regelungen bezüglich kryptographischer Maßnahmen |
| 5.32 | Geistige Eigentumsrechte | 18.1.2 | Geistige Eigentumsrechte |
| 5.33 | Schutz von Aufzeichnungen | 18.1.3 | Schutz von Aufzeichnungen |
| 5.34 | Datenschutz und Schutz personenbezogener Daten (pbD) | 18.1.4 | Privatsphäre und Schutz von personenbezogener Information |
| 5.35 | Unabhängige Überprüfung der Informationssicherheit | 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| 5.36 | Einhaltung von Richtlinien, Vorschriften und Normen für die Informationssicherheit | 18.2.2 18.2.3 | Einhaltung von Sicherheitsrichtlinien und -standards Überprüfung der Einhaltung von technischen Vorgaben |
| 5.37 | Dokumentierte Betriebsabläufe | 12.1.1 | Dokumentierte Betriebsabläufe |
| 6 Personenbezogene Maßnahmen | |||
| 6.1 | Sicherheitsüberprüfung | 7.1.1 | Sicherheitsüberprüfung |
| 6.2 | Beschäftigungs- und Vertragsbedingungen | 7.1.2 | Beschäftigungs- und Vertragsbedingungen |
| 6.3 | Informationssicherheitsbewusstsein, -ausbildung und -schulung | 7.2.2 | Informationssicherheitsbewusstsein, -ausbildung und -schulung |
| 6.4 | Maßregelungsprozess | 7.2.3 | Maßregelungsprozess |
| 6.5 | Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung | 7.3.1 | Verantwortlichkeiten bei Beendigung oder Änderung der Beschäftigung |
| 6.6 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | Telearbeit | 6.2.2 | Telearbeit |
| 6.8 | Meldung von Informationssicherheitsereignissen | 16.1.2 16.1.3 | Meldung von Informationssicherheitsereignissen Meldung von Schwächen in der Informationssicherheit |
| 7 Physische Maßnahmen | Physische Maßnahmen | ||
| 7.1 | Physische Sicherheitsperimeter | 11.1.1 | Physische Sicherheitsperimeter |
| 7.2 | Physischer Zutritt | 11.1.2 11.1.6 | Physische Zutrittssteuerung Anlieferungs- und Ladebereiche |
| 7.3 | Sichern von Büros, Räumen und Einrichtungen | 11.1.3 | Sichern von Büros, Räumen und Einrichtungen |
| 7.4 | Physische Sicherheitsüberwachung | NEU | |
| 7.5 | Schutz vor physischen und umweltbedingten Bedrohungen | 11.1.4 | Schutz vor externen und umweltbedingten Bedrohungen |
| 7.6 | Arbeiten in Sicherheitsbereichen | 11.1.5 | Arbeiten in Sicherheitsbereichen |
| 7.7 | Aufgeräumte Arbeitsumgebung und Bildschirmsperren | 11.2.9 | Richtlinien für eine aufgeräumte Arbeitsumgebung und Bildschirmsperren |
| 7.8 | Platzierung und Schutz von Geräten und Betriebsmitteln | 11.2.1 | Platzierung und Schutz von Geräten und Betriebsmitteln |
| 7.9 | Sicherheit von Werten außerhalb der Räumlichkeiten | 11.2.6 | Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten |
| 7.10 | Speichermedien | 8.3.1 8.3.2 8.3.3 11.2.5 | Handhabung von Wechseldatenträgern Entsorgung von Datenträgern Transport von Datenträgern Entfernen von Werten |
| 7.11 | Versorgungseinrichtungen | 11.2.2 | Versorgungseinrichtungen |
| 7.12 | Sicherheit der Verkabelung | 11.2.3 | Sicherheit der Verkabelung |
| 7.13 | Instandhaltung von Geräten und Betriebsmitteln | 11.2.4 | Instandhaltung von Geräten und Betriebsmitteln |
| 7.14 | Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten und Betriebsmitteln |
| 8 Technologische Maßnahmen | Technologische Maßnahmen | ||
| 8.1 | Endpunktgeräte des Benutzers | 6.2.1 11.2.8 | Richtlinie zu Mobilgeräten Unbeaufsichtigte Benutzergeräte |
| 8.2 | Privilegierte Zugangsrechte | 9.2.3 | Verwaltung privilegierter Zugangsrechte |
| 8.3 | Informationszugangsbeschränkung | 9.4.1 | Informationszugangsbeschränkung |
| 8.4 | Zugriff auf den Quellcode | 9.4.5 | Zugangssteuerung für Quellcode von Programmen |
| 8.5 | Sichere Authentifizierung | 9.4.2 | Sichere Anmeldeverfahren |
| 8.6 | Kapazitätssteuerung | 12.1.3 | Kapazitätssteuerung |
| 8.7 | Schutz gegen Schadsoftware | 12.2.1 | Maßnahmen gegen Schadsoftware |
| 8.8 | Handhabung von technischen Schwachstellen | 12.6.1 18.2.3 | Handhabung von technischen Schwachstellen Überprüfung der Einhaltung von technischen Vorgaben |
| 8.9 | Konfigurationsmanagement | NEU | |
| 8.10 | Löschung von Informationen | NEU | |
| 8.11 | Datenmaskierung | NEU | |
| 8.12 | Verhinderung von Datenlecks | NEU | |
| 8.13 | Sicherung von Information | 12.3.1 | Sicherung von Information |
| 8.14 | Redundanz von informationsverarbeitenden Einrichtungen | 17.2.1 | Verfügbarkeit von informationsverarbeitenden Einrichtungen |
| 8.15 | Protokollierung | 12.4.1 12.4.2 12.4.3 | Ereignisprotokollierung Schutz der Protokollinformation Administratoren- und Bedienerprotokolle |
| 8.16 | Überwachungstätigkeiten | NEU | |
| 8.17 | Uhrensynchronisation | 12.4.4 | Uhrensynchronisation |
| 8.18 | Gebrauch von Hilfsprogrammen mit privilegierten Rechten | 9.4.4 | Gebrauch von Hilfsprogrammen mit privilegierten Rechten |
| 8.19 | Installation von Software auf Systemen im Betrieb | 12.5.1 12.6.2 | Installation von Software auf Systemen im Betrieb Einschränkungen von Softwareinstallation |
| 8.20 | Netzwerksicherheit | 13.1.1 | Netzwerksteuerungsmaßnahmen |
| 8.21 | Sicherheit von Netzwerkdiensten | 13.1.2 | Sicherheit von Netzwerkdiensten |
| 8.22 | Trennung von Netzwerken | 13.1.3 | Trennung in Netzwerken |
| 8.23 | Webfilterung | NEU | |
| 8.24 | Verwendung von Kryptographie | 10.1.1 10.1.2 | Richtlinie zum Gebrauch von kryptographischen Maßnahmen Schlüsselverwaltung |
| 8.25 | Lebenszyklus einer sicheren Entwicklung | 14.2.1 | Richtlinie für sichere Entwicklung |
| 8.26 | Anforderungen an die Anwendungssicherheit | 14.1.2 14.1.3 | Sicherung von Anwendungsdiensten in öffentlichen Netzen Schutz der Transaktionen bei Anwendungsdiensten |
| 8.27 | Sichere Systemarchitektur und technische Grundsätze | 14.2.5 | Grundsätze für die Analyse, Entwicklung und Pflege sicherer Systeme |
| 8.28 | Sicheres Coding | NEU | |
| 8.29 | Sicherheitsprüfung bei Entwicklung und Abnahme | 14.2.8 14.2.9 | Testen der Systemsicherheit Systemabnahmetest |
| 8.30 | Ausgegliederte Entwicklung | 14.2.7 | Ausgegliederte Entwicklung |
| 8.31 | Trennung von Entwicklungs-, Prüf- und Produktionsumgebungen | 12.1.4 14.2.6 | Trennung von Entwicklungs-, Test- und Betriebsumgebungen Sichere Entwicklungsumgebung |
| 8.32 | Änderungssteuerung | 12.1.2 14.2.2 14.2.3 14.2.4 | Änderungssteuerung Verfahren zur Verwaltung von Systemänderungen Technische Überprüfung von Anwendungen nach Änderungen an der Betriebsplattform Beschränkung von Änderungen an Softwarepaketen |
| 8.33 | Prüfinformationen | 14.3.1 | Schutz von Testdaten |
| 8.34 | Schutz der Informationssysteme während der Überwachungsprüfung | 12.7.1 | Maßnahmen für Audits von Informationssystemen |
Tabelle: Gegenüberstellung ISO 27001:2022 vs. ISO 27001:2013
Für bestehende zertifizierte Organisationen gibt es eine Übergangsfrist, um sich an die neue ISO 27001:2022 anzupassen. Die Änderungen spiegeln die dynamischen Entwicklungen im Bereich der Informationssicherheit wider und stellen sicher, dass die Norm weiterhin ein relevanter und wirksamer Rahmen für die Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit von Informationssystemen bleibt.
