Zum Inhalt springen

Responsible Supply Chain Initiative (RSCI)

Anfrage
Startseite » Unser Blog » Informationsmanagementsysteme » Update ISO 27001

Update ISO 27001

Nachhaltigkeit SAQ 5.0

Bei Buchung von SAQ 5.0 Assessment Questionaire - erhalten Sie Rabatt auf unser Hinweisgebersystem

Die ISO 27001 legt die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) fest. Das Update der ISO 27001:2022 wirkt sich im Wesentlichen auf die Kontrollen (Maßnahmen) im Anhang A aus. Diese wurden reduziert von 114 auf 93 Kontrollen gemäß der ISO 27002:2022. Mit Übernahme der High Level Structure (HLS) wurden Unterabschnitte hinzugefügt bzw. verschoben. Im Oktober 2022 wurde die überarbeitete Version veröffentlicht. Aktuell gibt es die Version nur in englischer Sprache. Der Aufbau der Norm entspricht der High Level Structure (HLS).

Update ISO 27001 Anforderungen - 2700k Familie
ISO 27001 Anforderungen – 2700k Familie

Die im Anhang A der ISO 27001:2022 aufgeführten Kontrollen (Maßnahmen) müssen nicht zwangsläufig umgesetzt werden. Bei der Einführung der ISO 27001:2022 kann die Organisation frei entscheiden, welche Kontrollen aus dem Anhang A auf die besonderen Risiken angewendet werden. Die Organisation kann sich dafür entscheiden, Informationsrisiken zu vermeiden, zu teilen oder zu akzeptieren, anstatt durch Kontrollen (Maßnahmen) zu reduzieren. Gefordert ist jetzt unter Abschnitt 4.4, dass die Organisation die erforderlichen Prozesse und ihre Wechselwirkungen bestimmen, die für die Aufrechterhaltung und Wirksamkeit des ISMS erforderlich sind.

Neue Nomenklatur HLS

Die übernommene High Level Structure HLS führt dazu, dass jetzt die Abschnitte 9.2 internes Audit und 9.3 Managementbewertung untergliedert sind in die Unterabschnitte 9.2.1 und 9.2.2 bzw. 9.3.1, 9.3.2 und 9.3.3. Auch im Abschnitt 10. Verbesserungen wurde die HLS angepasst. Somit wurde die fortlaufende Verbesserung in den Unterabschnitt 10.1 verschoben und der Umgang mit Nichtkonformitäten und Korrekturmaßnahmen findet man jetzt im Unterabschnitt 10.2.

Anhang (Annex) A Kontrollen

Die größten Veränderungen wurden mit dem Update der ISO 27001:2022 im Anhang A durchgeführt. Die im Anhang A (Annex A) befindlichen Kontrollen (Maßnahmen) wurden von 114 Kontrollen auf 93 Kontrollen (Maßnahmen) reduziert und gliedern sich jetzt in vier Themenbereiche:

  • A.5 Organisatorische Maßnahmen (37 Kontrollen)
  • A.6 Personenbezogene Maßnahmen (8 Kontrollen)
  • A.7 Physische Maßnahmen (14 Kontrollen)
  • A.8 Technische Maßnahmen (34 Kontrollen)

11 Maßnahmen aus den 93 Kontrollen wurden neu eingeführt:

  • A.5.7 Bedrohungsintelligenz
  • A.5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
  • A.5.30 IKT-Bereitschaft für Business Continuity
  • A.7.4 Physische Sicherheitsüberwachung
  • A.8.9 Konfigurationsmanagement
  • A.8.10 Löschung von Informationen
  • A.8.11 Datenmaskierung
  • A.8.12 Verhinderung von Datenlecks
  • A.8.16 Überwachung von Aktivitäten
  • A.8.23 Webfilterung
  • A.8.28 Sicheres Coding

Übergangsfristen

Die Umstellung von der ISO 27001:2013 auf die neue ISO 27001:2022 muss innerhalb von 3 Jahren erfolgen (Oktober 2025). Eine Zertifizierung nach der alten ISO 27001:2013 (Erst-/RE-Zertifizierung) ist nur noch bis April 2024 möglich (18 Monate nach der Veröffentlichung der neuen ISO 27001:2022). Das Update der ISO 27001:2022 ist ab Januar 2023 zertifizierbar. Alle neue Kunden werden dann nach dem neuen Regelwerk zertifiziert.

Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | IATF 16949 Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Dozent IMB Integrations Modell Bayreuth | Mitglied DGQ - Deutsche Gesellschaft für Qualität | Lead Auditor ISO 14001 u. ISO 45001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel

Cookie Consent mit Real Cookie Banner