Die ISO 27001 legt die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) fest. Das Update der ISO 27001:2022 wirkt sich im Wesentlichen auf die Kontrollen (Maßnahmen) im Anhang A aus. Diese wurden reduziert von 114 auf 93 Kontrollen gemäß der ISO 27002:2022. Mit Übernahme der High Level Structure (HLS) wurden Unterabschnitte hinzugefügt bzw. verschoben. Im Oktober 2022 wurde die überarbeitete Version veröffentlicht. Aktuell gibt es die Version nur in englischer Sprache. Der Aufbau der Norm entspricht der High Level Structure (HLS).
Die im Anhang A der ISO 27001:2022 aufgeführten Kontrollen (Maßnahmen) müssen nicht zwangsläufig umgesetzt werden. Bei der Einführung der ISO 27001:2022 kann die Organisation frei entscheiden, welche Kontrollen aus dem Anhang A auf die besonderen Risiken angewendet werden. Die Organisation kann sich dafür entscheiden, Informationsrisiken zu vermeiden, zu teilen oder zu akzeptieren, anstatt durch Kontrollen (Maßnahmen) zu reduzieren. Gefordert ist jetzt unter Abschnitt 4.4, dass die Organisation die erforderlichen Prozesse und ihre Wechselwirkungen bestimmen, die für die Aufrechterhaltung und Wirksamkeit des ISMS erforderlich sind.
Neue Nomenklatur HLS
Die übernommene High Level Structure HLS führt dazu, dass jetzt die Abschnitte 9.2 internes Audit und 9.3 Managementbewertung untergliedert sind in die Unterabschnitte 9.2.1 und 9.2.2 bzw. 9.3.1, 9.3.2 und 9.3.3. Auch im Abschnitt 10. Verbesserungen wurde die HLS angepasst. Somit wurde die fortlaufende Verbesserung in den Unterabschnitt 10.1 verschoben und der Umgang mit Nichtkonformitäten und Korrekturmaßnahmen findet man jetzt im Unterabschnitt 10.2.
Anhang (Annex) A Kontrollen
Die größten Veränderungen wurden mit dem Update der ISO 27001:2022 im Anhang A durchgeführt. Die im Anhang A (Annex A) befindlichen Kontrollen (Maßnahmen) wurden von 114 Kontrollen auf 93 Kontrollen (Maßnahmen) reduziert und gliedern sich jetzt in vier Themenbereiche:
11 Maßnahmen aus den 93 Kontrollen wurden neu eingeführt:
Übergangsfristen
Die Umstellung von der ISO 27001:2013 auf die neue ISO 27001:2022 muss innerhalb von 3 Jahren erfolgen (Oktober 2025). Eine Zertifizierung nach der alten ISO 27001:2013 (Erst-/RE-Zertifizierung) ist nur noch bis April 2024 möglich (18 Monate nach der Veröffentlichung der neuen ISO 27001:2022). Das Update der ISO 27001:2022 ist ab Januar 2023 zertifizierbar. Alle neue Kunden werden dann nach dem neuen Regelwerk zertifiziert.