Zum Inhalt springen

Support für ISO 27001:2022 und TISAX – von der Einführung bis zur Zertifizierung
Wir begleiten Ihr Unternehmen umfassend bei der Einführung und Umsetzung von ISO 27001:2022 und TISAX. Vereinbaren Sie ein unverbindliches Erstgespräch. Fordern Sie noch heute Ihr individuelles Angebot an.

Anfrage
NIS2
TISAX®
Startseite » Unser Blog » ISO 27001 » Revision ISO 27001

Revision ISO 27001

Mit der Revision der ISO 27001 (auch bekannt als ISO 27001 Aktualisierung oder ISO 27001 update) gehen für viele Unternehmen bedeutende Veränderungen in puncto Informationssicherheit einher. Die neue Version des Standards – häufig als ISO/IEC 27001:2022 bezeichnet – beinhaltet Anpassungen an den aktuellen Stand der Technik sowie eine Neustrukturierung der Kontrollmaßnahmen (Annex A). Damit stellt das ISO 27001 Update sicher, dass Ihr Informationssicherheits-Managementsystem (ISMS) effektiv auf die sich stetig wandelnden Bedrohungsszenarien reagieren kann.

Update ISO 27001 Anforderungen - 2700k Familie
ISO 27001 Anforderungen – 2700k Familie

Überblick – Warum eine Revision

  • Fortlaufende Aktualisierung
  • Cyber-Bedrohungen entwickeln sich rasant. Die Anpassung des Standards an neue technologische und organisatorische Anforderungen war daher dringend notwendig.
  • Angleichung an ISO/IEC 27002:2022
  • Zeitgleich zu ISO 27001 wurde auch ISO 27002 (Leitfaden zu den Controls) neu aufgelegt. ISO 27001:2022 spiegelt die Änderungen aus ISO 27002:2022 wider, sodass ISMS-Verantwortliche ihre Sicherheitsmaßnahmen am aktuellsten Wissensstand ausrichten können.
  • Erleichterung für Anwender

Die neue Version soll übersichtlicher sein, indem redundante Controls zusammengelegt und neue wichtige Controls ergänzt wurden. Das macht es für Unternehmen leichter, zeitgemäße Risiken abzudecken.

Wesentliche Änderungen

Annex A – neue Struktur und weniger Controls

  • Neue Gliederung
    Im Gegensatz zu den 14 Themenkategorien in ISO/IEC 27001:2013 gibt es nun 4 übergeordnete Themenbereiche in Annex A (Organisatorische Controls, Personenbezogene Controls, Physische Controls, Technologische Controls).
    Diese Umstellung hat das Ziel, die Controls logischer zu gruppieren und den Überblick für Anwender zu verbessern.
  • Reduzierung der Anzahl von 114 auf 93 Controls
    Manche Controls wurden zusammengeführt, da sie thematisch sehr eng beieinander lagen. Andere fielen weg, weil sie entweder veraltet waren oder nun durch die Zusammenlegungen anderweitig abgedeckt werden.

Neue zusammengeführte Controls

Neue Controls

Insgesamt kamen 11 neue Controls hinzu, die aktuellen Anforderungen in der Informationssicherheit Rechnung tragen. Beispiele sind:

  • Threat Intelligence (Bedrohungsinformationen)
  • ICT Readiness for Business Continuity (Vorbereitung der IT-Umgebung für Geschäftskontinuität)
  • Physical Security Monitoring (Überwachung physischer Bereiche)
  • Configuration Management (Verwaltung der Systemkonfiguration)
  • Data Masking (Maskierung sensibler Daten)
  • Data Leakage Prevention (Verhinderung von Datenabfluss)
  • Information Security for Use of Cloud Services (Cloud-Sicherheit)
  • Mehrere Controls wurden thematisch gebündelt, um Doppelt- und Dreifachnennungen zu vermeiden. Das vereinfacht die Dokumentation und sorgt für mehr Klarheit über die tatsächlichen Anforderungen.

Neue Attribute und Flexibilität

  • Attribute für Controls
    In ISO/IEC 27002:2022 und damit auch in ISO/IEC 27001:2022 wird eine neue Attributierung der Controls eingeführt (z. B. „operational“, „organisational“, „technological“, „people“). Dadurch wird es möglich, die Controls entsprechend ihrer Zweckbestimmung zu kategorisieren und intern flexibler einzusetzen.
  • Mehr Klarheit für das Risikomanagement
    Dank der neuen Struktur lassen sich Maßnahmen noch gezielter mit spezifischen Risiken verknüpfen. Dies kann gerade in komplexen Unternehmen mit vielen Risikofeldern ein großer Vorteil sein.

Reduzierung der Maßnahmen (Controls) Anhang A

Die im Anhang A der ISO 27001:2022 aufgeführten 93 Kontrollen (Maßnahmen) müssen nicht zwangsläufig umgesetzt werden. Bei der Einführung der ISO 27001:2022 kann die Organisation frei entscheiden, welche Kontrollen aus dem Anhang A auf die besonderen Risiken angewendet werden. Die Organisation kann sich dafür entscheiden, Informationsrisiken zu vermeiden, zu teilen oder zu akzeptieren, anstatt durch Kontrollen (Maßnahmen) zu reduzieren. Gefordert ist jetzt unter Abschnitt 4.4, dass die Organisation die erforderlichen Prozesse und ihre Wechselwirkungen bestimmen, die für die Aufrechterhaltung und Wirksamkeit des ISMS erforderlich sind.

Neue Nomenklatur HLS

Die übernommene High Level Structure HLS führt dazu, dass jetzt die Abschnitte 9.2 internes Audit und 9.3 Managementbewertung untergliedert sind in die Unterabschnitte 9.2.1 und 9.2.2 bzw. 9.3.1, 9.3.2 und 9.3.3. Auch im Abschnitt 10. Verbesserungen wurde die HLS angepasst. Somit wurde die fortlaufende Verbesserung in den Unterabschnitt 10.1 verschoben und der Umgang mit Nichtkonformitäten und Korrekturmaßnahmen findet man jetzt im Unterabschnitt 10.2.

Anhang (Annex) A Kontrollen

Die größten Veränderungen wurden mit dem Update der ISO 27001:2022 im Anhang A durchgeführt. Die im Anhang A (Annex A) befindlichen Kontrollen (Maßnahmen) wurden von 114 Kontrollen auf 93 Kontrollen (Maßnahmen) reduziert und gliedern sich jetzt in vier Themenbereiche:

  • A.5 Organisatorische Maßnahmen (37 Kontrollen)
  • A.6 Personenbezogene Maßnahmen (8 Kontrollen)
  • A.7 Physische Maßnahmen (14 Kontrollen)
  • A.8 Technische Maßnahmen (34 Kontrollen)

11 Maßnahmen aus den 93 Kontrollen wurden neu eingeführt:

  • A.5.7 Bedrohungsintelligenz
  • A.5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
  • A.5.30 IKT-Bereitschaft für Business Continuity
  • A.7.4 Physische Sicherheitsüberwachung
  • A.8.9 Konfigurationsmanagement
  • A.8.10 Löschung von Informationen
  • A.8.11 Datenmaskierung
  • A.8.12 Verhinderung von Datenlecks
  • A.8.16 Überwachung von Aktivitäten
  • A.8.23 Webfilterung
  • A.8.28 Sicheres Coding

Managementsystem-Teil: Was bleibt gleich?

  • High-Level Structure (HLS)
    Der Managementsystem-Aufbau (Kapitel 4 bis 10) bleibt im Großen und Ganzen identisch. Organisationen, die sich bereits nach ISO 27001:2013 zertifizieren ließen, müssen ihr ISMS nicht komplett neu aufsetzen, sondern nur punktuell anpassen.
  • Plan-Do-Check-Act (PDCA) und risikobasierter Ansatz
    Die Kernprinzipien bleiben unverändert. Auch weiterhin stehen die kontinuierliche Verbesserung, die Einbindung des Top-Managements und die systematische Risikoanalyse im Vordergrund.
  • Anforderungen an Dokumentation und Umsetzung
    Es gelten nach wie vor die bekannten Vorgaben: Unternehmen müssen den Geltungsbereich des ISMS definieren, ein Risikomanagement einführen und angemessene Richtlinien sowie Verfahren etablieren.

Empfehlungen für die Transition

  • Gap-Analyse durchführen
    Vergleiche Dein aktuelles ISMS (insbesondere Annex-A-Controls) mit den Neuerungen aus ISO/IEC 27001:2022. So erkennst Du schnell, wo Handlungsbedarf besteht.
  • Prioritäten setzen
    Prüfe zuerst, welche neuen Controls für Dein Unternehmen essenziell sind – z. B. Cloud Security, falls Du verstärkt SaaS-Dienste nutzt.
  • Stakeholder frühzeitig einbinden
    Informiere die Geschäftsführung und relevante Fachabteilungen über die anstehenden Änderungen. Gemeinsam definiert Ihr, wie die neuen Controls praktikabel umgesetzt werden können.
  • Dokumentation sukzessive angleichen
    Passe Deine ISMS-Dokumentation und das SoA an. Nutze die Gelegenheit, veraltete Prozesse zu aktualisieren und redundante Richtlinien zu verschlanken.
  • Mitarbeiterschulungen durchführen
    Neue Anforderungen oder Controls benötigen ein entsprechendes Bewusstsein bei allen Beteiligten. Plane Awareness-Schulungen oder Workshops, um den Wandel im ISMS zu begleiten.

Übergangsfristen

Die Umstellung von der ISO 27001:2013 auf die neue ISO 27001:2022 muss innerhalb von 3 Jahren erfolgen (Oktober 2025). Eine Zertifizierung nach der alten ISO 27001:2013 (Erst-/RE-Zertifizierung) ist nur noch bis April 2024 möglich (18 Monate nach der Veröffentlichung der neuen ISO 27001:2022). Das Update der ISO 27001:2022 ist ab Januar 2023 zertifizierbar. Alle neue Kunden werden dann nach dem neuen Regelwerk zertifiziert.

Wie wir Sie unterstützen

  • IST-Analyse & GAP-Bewertung: Wir überprüfen Ihr bestehendes ISMS und stellen fest, welche Maßnahmen für das Update ISO 27001 erforderlich sind.
  • Maßnahmenplan & Umsetzung: Auf Basis der Analyse entwickeln wir einen konkreten Projektplan, um die Neuerungen zielgerichtet und effizient einzuführen.
  • Interne Audits & Schulungen: Wir führen mit Ihnen interne Audits durch und schulen Ihr Team zu den neuen oder geänderten Kontrollen.
  • Zertifizierungsvorbereitung: Unsere Experten begleiten Sie im Vorfeld und während des externen Audits, damit Sie die neue ISO 27001 Revision erfolgreich implementieren.

Ihr Mehrwert auf einen Blick

  • Zukunftssicherheit: Ein erfolgreiche ISO 27001 Revision garantiert, dass Sie auf dem neuesten Stand des Informationssicherheits-Managements bleiben.
  • Prozessoptimierung: Die Struktur der neuen Norm ermöglicht eine besser integrierte Vorgehensweise in Ihrem gesamten Managementsystem.
  • Vertrauen & Compliance: Kunden und Behörden verlangen immer häufiger den Nachweis eines aktuellen ISMS. Mit einem frischen Zertifikat erfüllen Sie diese Anforderungen.

Fazit

Die ISO 27001 Revision ist für Unternehmen, die Daten und Informationen schützen müssen, unumgänglich. Von den überarbeiteten Kontrollen bis hin zum risikobasierten Ansatz – die Neuerungen helfen Ihnen, sich effektiv auf heutige Cyber-Gefahren einzustellen. Mit einer kompetenten Begleitung und einem klar strukturierten Projektplan können Sie den Umstellungsprozess effizient bewältigen und Ihr ISMS nachhaltig verbessern. Wenn Sie Fragen zur praktischen Umsetzung haben oder Unterstützung beim Update benötigen, kontaktieren Sie uns gerne!

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner