Thomas Aberger, Bettina König, Christoph König und Felix Franke

Neue Version ISO/IEC 27001:2022

Was bedeutet das für Sie?

ISO 27001 und ISO 9001 sind der Standard für alle Branchen und TISAX ® ist der gängige Standard für die Automobilindustrie.

Jetzt Kontakt aufnehmen

Wenn Sie bereits ISO 27001 zertifiziert sind:

Für die meisten Kunden gilt: Sie sollten sich vor der nächsten anstehenden Zertifizierung (nach dem April 2024) mit der neuen Normversion beschäftigen und die geforderten Veränderungen implementieren.

Übergangsfristen für ISO 27001:2022

Es wird eine Zeit „paralleler“ Gültigkeit der alten und neuen ISO/IEC 27001 geben.

Die Übergangsfrist beträgt 36 Monate, und bestehende Zertifikate müssen bis Ende Oktober 2025 auf die neue ISO/IEC 27001:2022 umgestellt sein. Dafür bietet sich ein Transitionsaudit an, das sich parallel zu einem regulären Audit durchführen lässt – die entsprechenden Vorgaben hat das IAF bereits veröffentlicht.

Für die Unternehmenszertifizierung gilt folgendes:

  • Laufende Zertifizierungen nach alter Norm verlieren nach der 3 Jahren ihre Gültigkeit.
  • Neuzertifizierungen und Wiederholungsaudits sind noch bis zum 30.04.2024 nach der alten Norm möglich.
  • Binnen 3 Jahre nach dem Zeitpunkt der Veröffentlichung müssen alle laufenden Zertifizierungen umgestellt sein (31.10.2025).
  • Umstellungen können zu den Zeitpunkten laufender Überwachungsaudit, Wiederholungsaudits oder separaten Audits erfolgen.

ISO 27001:2022 – Was hat sich geändert?

Die neue Version ISO/IEC 27001:2022 enthält 11 neue Maßnahmen und eine veränderte, kompaktere Struktur.

Die wichtigsten Änderungen gegenüber der Vorgängerversion betreffen die im Anhang A definierten Maßnahmen (Controls).  Diese wurden von bisher 114 auf 93 umstrukturiert, alle mit einem eigenen Zweck versehen und an den Stand der Technik angepasst

Es gibt eine neue Gliederung des Anhanges in vier Abschnitte:

  1. Organisational Controls (37 Maßnahmen),
  2. People Controls (8 Maßnahmen),
  3. Physical Controls (14 Maßnahmen)
  4. Technological Controls (34 Maßnahmen).

11 dieser 93 Maßnahmen sind neu geschaffen: 

  • 5.7 Bedrohungsintelligenz
  • 5.23 Informationssicherheit für die Nutzung von Cloud-Diensten
  • 5.30 IKT-Bereitschaft für Business Continuity
  • 7.4 Physische Sicherheitsüberwachung
  • 8.9 Konfigurationsmanagement
  • 8.10 Löschung von Informationen
  • 8.11 Datenmaskierung
  • 8.12 Verhinderung von Datenlecks
  • 8.16 Überwachung von Aktivitäten
  • 8.23 Webfilterung
  • 8.28 Sicheres Coding

Vorgehensweise für bereits ISO 27001 zertifizierte Unternehmen

Wenn eine Rezertifizierung oder ein Wiederholungsaudit vor dem 1.5.2024 anstehen, sollte dieses nach der alten Version durchgeführt werden. Bei einem späteren Datum macht es Sinn, jetzt mit einer Umstellung zu beginnen, um nicht in Zeitdruck zu geraten. Bei der Umstellung muss im Wesentlichen der Anhang A an die neue Struktur angepasst werden.

Folgender Ablauf stellt eine hohe Effektivität sicher:

  1. Erstellung der Richtlinien für die neuen Maßnahmen
  2. Anpassung bestehender Richtlinien an die neuen Anforderungen unterstützt durch eine Änderungsliste
  3. Veröffentlichung der Richtlinien
  4. Schulung der neuen Richtlinien
  5. Durchführung eines internen Audits zur Offenlegung verbleibender GAPS

Die König Consult GmbH kann Sie bei diesem Vorgehen auf folgende Weise unterstützen

  1. Standardvorlagen für die neuen Maßnahmen (1 Dokument pro Maßnahme). Diese müssen dann an die Unternehmenssituation angepasst werden.
  2. Im Rahmen eines Beratungspaketes die Übernahme von vorformulierten Textbausteinen in bestehende Dokumente
  3. Review von Richtlinien
  4. Durchführung von Schulungen
  5. Durchführung eines internen Audits

Die Dokumentation kann auf Deutsch oder Englisch und im Microsoft Word oder Confluence Format zur Verfügung gestellt werden.

Interesse? Vereinbaren Sie einen Beratungstermin.