Was sind die Änderungen der ISO/ICE 27001:2022 Auflage

Im Oktober 2022 wurde die weithin anerkannte internationale Norm für Informationssicherheit, ISO 27001:2013, aktualisiert und die neue Version, ISO/IEC 27001:2022, veröffentlicht.

In den vergangenen neun Jahren hat sich die ISO 27001 in verschiedenen Branchen stark durchgesetzt. Die jüngste Überarbeitung ist eher eine kleine Evolution statt einer Revolution. Nachfolgend möchten wir diese Schritt für Schritt aufzeigen.

Zusammenfassung der Änderungen in ISO 27001:2022:

1.     Keine wesentlichen Änderungen in den Abschnitten 4 bis 10 der ISO 27001:2013:
Die grundlegenden Anforderungen der Version ISO 27001:2013 bleiben in der Version 2022 weitgehend unverändert.

2.     Die Controls sind jetzt in 4 Hauptbereiche unterteilt:
In der ISO 27002:2022, die eine Anleitung zur Implementierung der Controls der ISO 27001 enthält, wurden diese neu strukturiert.
Anstelle der früheren 14 Kategorien werden die Controls nun in 4 Hauptbereiche unterteilt: Organizational, People, Physical, and Technological.

3.     Hashtags für einfachere Referenz und Navigation:
Zur Verbesserung der Benutzerfreundlichkeit und zum leichteren Nachschlagen führt die ISO 27002:2022 die Verwendung von Hashtags ein. Diese Hashtags können bei der Navigation und dem Auffinden bestimmter Controls innerhalb des Dokuments helfen.

4.     Verringerung der Anzahl der Controls:
Die Zahl der Sicherheits-Controls im Anhang A wurde von 114 in der Fassung von 2013 auf 93 in der Fassung von 2022 reduziert.
Diese Verringerung ist das Ergebnis der Zusammenlegung bestimmter Controls, während leider keine Controls vollständig gestrichen wurden.

5.     Einführung von neuen organisatorischen und physischen Controls:
ISO 27002:2022 enthält neue Controls in den Bereichen der organisatorischen und physischen Sicherheit. Diese Ergänzungen zielen darauf ab, aufkommende Sicherheitsherausforderungen anzugehen und sich an die sich entwickelnde Landschaft der Informationssicherheit anzupassen.

Insgesamt konzentrieren sich die Änderungen in ISO/IEC 27001:2022 in erster Linie auf die Umstrukturierung und Konsolidierung der Controls, wodurch die Norm übersichtlicher und benutzerfreundlicher wird und gleichzeitig an die sich verändernde Sicherheitslandschaft angepasst wird.

Änderungen in der Struktur der Managementsystemanforderungen:

Es gibt nicht viele bedeutende Änderungen, aber einige, die einen Kommentar verdienen:

1.     4.4 Informationssicherheits-Managementsystem: Dieser neue Abschnitt betont die Identifizierung von Prozessen und deren Wechselwirkungen innerhalb des Informationssicherheits-Managementsystems. Diese Anforderung steht im Einklang mit ISO 9001 und ermöglicht die Gestaltung von Prozessinteraktionen mithilfe von Diagrammen und Flussdiagrammen.

2.     Die Controls in Anhang A sind nicht umfassend: In den Klauseln und Anmerkungen der Norm wird klargestellt, dass die in Anhang A aufgeführten Controls nicht alle möglichen Controls darstellen. Sie dienen zwar als Grundlage, doch sollten die Unternehmen ihr spezifisches Umfeld bewerten, um zusätzliche notwendige Controls und Risiken zu ermitteln. (Basis ja – jedoch können/sollten mehr Controls in Betracht gezogen werden)

3.     6.2 Ziele der Informationssicherheit: ISO 27001:2022 verlangt, dass die Ziele der Informationssicherheit dokumentiert und allen Beteiligten zugänglich gemacht werden. Dadurch wird sichergestellt, dass die Ziele klar definiert sind und in der gesamten Organisation kommuniziert werden.

4.     6.3 Planung von Änderungen: Die überarbeitete Norm schreibt nun eine dokumentierte Planung für alle Änderungen vor. Dies unterstreicht die Bedeutung einer ordnungsgemäßen Planung und Dokumentation bei der Umsetzung von Änderungen innerhalb des Informationssicherheitsmanagementsystems.

5.     8.1 Operative Planung und Kontrolle: Organisationen müssen nun Kriterien für betriebliche Abläufe festlegen. Der Begriff "Kriterien" umfasst verschiedene Aspekte, die von Sicherheitsanforderungen bis zu Geschäftsanforderungen oder Kundenwünschen reichen. Dadurch können Organisationen bei der Planung und Kontrolle ihrer betrieblichen Abläufe ein breiteres Spektrum von Faktoren berücksichtigen.

6.     9 Leistungsbewertung: ISO 27001:2022 unterstreicht die Bedeutung der Verwendung von Bewertungsmethoden, die vergleichbare Ergebnisse liefern und es Organisationen ermöglichen, Trends im Laufe der Zeit zu bewerten. Diese Betonung einer konsistenten Bewertung hilft Organisationen, die Wirksamkeit ihrer Controls zu überwachen und fundierte Entscheidungen auf der Grundlage von Leistungsdaten zu treffen.

7.     9.2 Interne Audits: Interne Audits müssen nun alle organisatorischen Anforderungen abdecken und sind nicht mehr nur auf ISO 27001 beschränkt. Dieser breitere Ansatz zielt darauf ab, eine umfassendere Bewertung des Managementsystems zu schaffen und sicherzustellen, dass alle relevanten Anforderungen bei internen Bewertungen berücksichtigt werden.

Anhang A

Anhang A, der die Sicherheits-Controls in ISO 27001 enthält, wurde in der aktualisierten Version ISO 27001:2022 erheblich geändert. Die Umstrukturierung und Überarbeitung von Anhang A hat zu einer Verringerung der Anzahl der Controls von 114 auf 93 geführt. Außerdem wurden die Controls in vier Abschnitte gruppiert, die die früheren 14 Kategorien ersetzen.

Ziel dieser Umstrukturierung ist es, die Umsetzung der Norm zu vereinfachen und zu rationalisieren. Überschneidungen und Wiederholungen wurden beseitigt, und die Controls wurden in fünf Haupt-Sicherheitsattribute gegliedert, wodurch sie leichter kategorisiert werden können.

Die neuen Abschnitte und Controls in ISO 27002:2022 sind wie folgt:

• Abschnitt 5: Organizational (37 Controls
• Abschnitt 6: People (8 Controls)
• Abschnitt 7: Physical (14 Controls)
• Abschnitt 8: Technology (34 Controls)

Zusammenfassend können die Änderungen in Anhang A der ISO 27002:2022 wie folgt kategorisiert werden:
35 Controls blieben unverändert,
23 Controls wurden umbenannt,
57 Controls wurden zu 24 Controls zusammengelegt und
11 neue Controls wurden eingeführt.

Diese Überarbeitungen zielen darauf ab, die Klarheit, Effizienz und Wirksamkeit der in der Norm beschriebenen Sicherheits-Controls zu verbessern.

Die aktualisierte Version der ISO 27002:2022 führt 11 neue Controls ein, die dem Anhang A hinzugefügt wurden:

·         A.5.7 Aufklärung von Bedrohungen: Diese Controls konzentriert sich auf das Sammeln und Analysieren von Informationen über Bedrohungen, um diese wirksam zu entschärfen. Dazu gehört das Sammeln interner und externer Daten über bestimmte Angriffe, Angreifermethoden und verschiedene Arten von Bedrohungen.

·         A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten: Diese Control unterstreicht die Notwendigkeit, Sicherheitsanforderungen für Cloud-Dienste festzulegen, um sensible Informationen zu schützen. Sie umfasst Richtlinien für die Beschaffung, Nutzung, Verwaltung und Beendigung von Cloud-Diensten.

·         A.5.30 IKT-Bereitschaft für die Geschäftskontinuität: Diese Controls stellt sicher, dass Menschen, Prozesse und Systeme darauf vorbereitet sind, Unterbrechungen effektiv zu bewältigen. Ziel ist es, sicherzustellen, dass kritische Informationen und Vermögenswerte im Bedarfsfall verfügbar bleiben.

·         A.7.4 Überwachung der physischen Sicherheit: Diese Controls erfordert die Überwachung sensibler Bereiche, um den Zugang nur für befugtes Personal zu ermöglichen. Dazu gehört die Überwachung von Büros, Produktionsanlagen, Lagern und anderen wichtigen physischen Räumlichkeiten.

·         A.8.9 Konfigurationsmanagement: Diese Controls konzentriert sich auf die Verwaltung von Gerätekonfigurationen zu Sicherheitszwecken über alle Technologien und Systeme hinweg. Sie zielt darauf ab, die Konsistenz der Sicherheitsstufen zu gewährleisten und nicht autorisierte Änderungen zu kontrollieren.

·         A.8.10 Löschung von Informationen: Diese Controls betrifft die ordnungsgemäße Löschung von Daten, die nicht mehr benötigt werden oder die dokumentierten Aufbewahrungsfristen überschreiten. Ziel ist es, ein mögliches Durchsickern sensibler Daten zu verhindern und den Datenschutz und andere relevante Anforderungen zu erfüllen.

·         A.8.11 Datenmaskierung: Diese Controls erfordert die Verwendung von Datenmaskierung in Verbindung mit geeigneten Zugangs Controls, um das Risiko der Offenlegung sensibler Informationen zu verringern. Sie legt besonderen Wert auf den Schutz personenbezogener Daten in Übereinstimmung mit den Datenschutzbestimmungen.

·         A.8.12 Verhinderung von Datenlecks (Data Leakage Prevention): Diese Controls konzentriert sich auf die Implementierung von Maßnahmen wie Data Leakage Prevention (DLP), um die unbefugte Offenlegung sensibler Informationen zu verhindern. Sie umfasst auch Maßnahmen zur Erkennung von Vorfällen, um rechtzeitig reagieren zu können.

·         A.8.16 Überwachungsaktivitäten: Diese Controls legt den Schwerpunkt auf die Verwaltung und Überwachung von Systemen, um ungewöhnliche Aktivitäten zu erkennen und angemessene Reaktionen auf Vorfälle auszulösen.

·         A.8.23 Web-Filterung: Diese Controls unterstreicht die Notwendigkeit, Sicherheitsmaßnahmen für alle Websites, auf die die Benutzer zugreifen, zu ergreifen, um die IT-Systeme vor potenziellen Bedrohungen zu schützen.

·         A.8.28 Sichere Kodierung: Diese Control erfordert die Einführung sicherer Kodierungstechniken während des gesamten internen Softwareentwicklungsprozesses. Ziel ist die Verringerung von Sicherheitsschwachstellen durch die Einbeziehung sicherer Kodierungspraktiken von der Entwurfs- bis zur Implementierungsphase.

Diese neuen Controls spiegeln aufkommende Sicherheitsbedenken wider und sind auf die sich entwickelnden Technologien und Praktiken abgestimmt, um sicherzustellen, dass Organisationen aktuelle und zukünftige Informationssicherheitsrisiken abdecken.

4 SCHRITTE ZUM TREFFEN ÜBERARBEITETE VERSION

Führen Sie die folgenden Schritte aus, um die Compliance-Prozesse an die neuen Anforderungen der ISO 27001:2022 anzupassen und die Zertifizierung zu erhalten:

1.     Überprüfung des Risikoregisters und der angewandten Risikobehandlungen: Bewerten Sie Ihr bestehendes Risikoregister und beurteilen Sie die Übereinstimmung der Risikobehandlungen mit der überarbeiteten Norm ISO 27001:2022. Nehmen Sie alle notwendigen Anpassungen vor, um die Einhaltung der aktualisierten Anforderungen zu gewährleisten.

2.     Überarbeiten Sie das Statement of Applicability (SoA): Aktualisieren Sie das SoA Ihrer Organisation, um die Änderungen in Anhang A der ISO 27001:2022 zu berücksichtigen. Stellen Sie sicher, dass die in der Anwendbarkeitserklärung aufgeführten Controls  genau den neuen Kontrollanforderungen der überarbeiteten Norm entsprechen.

3.     Überprüfen und aktualisieren Sie die Dokumentation: Führen Sie eine gründliche Überprüfung Ihrer Dokumentation durch, einschließlich Richtlinien, Verfahren und anderer relevanter Dokumente. Ermitteln Sie Bereiche, die aktualisiert werden müssen, um die neuen Kontrollanforderungen der ISO 27001:2022 zu erfüllen. Überarbeiten Sie die Dokumentation und passen Sie sie entsprechend an, um die Konformität sicherzustellen.

4.     Erwerben Sie eine Audit-Zertifizierung: Beauftragen Sie einen zertifizierten Prüfer mit der Durchführung eines Audits des Informationssicherheits-Managementsystems Ihrer Organisation anhand der neuen Norm ISO 27001:2022. Der Prüfer wird Ihre Konformität mit den überarbeiteten Anforderungen bewerten und Ihnen eine Zertifizierung ausstellen, wenn Sie die erforderlichen Kriterien erfüllen.

Wenn Sie diese Schritte befolgen, können Sie sicherstellen, dass Ihre Compliance-Prozesse in Übereinstimmung mit ISO 27001:2022 aktualisiert werden, und den Zertifizierungsprozess erfolgreich durchlaufen, um die Einhaltung der neuesten Informationssicherheitsstandards durch Ihr Unternehmen nachzuweisen.