ISO 27001:2022 – die Unterschiede zur alten Fassung

Die gute Nachricht zuerst: Mit ISO ISO 27001:2022 wurde nicht alles auf links gedreht.

Wer die alte Fassung kannte, musste nicht komplett neu anfangen. Die Struktur des Managementsystems ist im Kern erhalten geblieben. Die größeren Veränderungen liegen vor allem im Anhang A, also bei den Controls. Genau dort wurde am deutlichsten umgebaut. Das IAF nennt die Änderungen im Hauptteil ausdrücklich eher überschaubar und verweist zugleich auf den neuen Anhang A als wesentlichen Impact der Revision.

Wichtig ist heute vor allem: Die Übergangsphase ist vorbei. Die Umstellung auf ISO/IEC 27001:2022 musste bis 31. Oktober 2025 abgeschlossen sein.

Wenn man die Unterschiede auf den Punkt bringt, dann so:

• Im Hauptteil der Norm hat sich weniger geändert, als viele zuerst denken.
• Der größte Umbau betrifft Anhang A.
• Dort wurden die bisherigen 114 Controls in 14 Themen auf 93 Controls in 4 Themenbereiche umgestellt.
• Dabei gibt es 11 neue Controls, 24 zusammengeführte Controls und 58 überarbeitete Controls.

Was sich im Hauptteil der ISO 27001:2022 geändert hat

Viele erwarten bei einer neuen Normversion zuerst große Änderungen in den Hauptkapiteln 4 bis 10. Genau dort ist die Revision aber vergleichsweise zurückhaltend.

Die wesentliche Änderungen im Hauptteil sind unter anderem:

• einen neuen Punkt 4.2 c) zu den Anforderungen interessierter Parteien, die durch das ISMS adressiert werden,
• den neuen Unterpunkt 6.3 Planning for changes,
• überarbeitete Formulierungen in 6.1.3 c) und d),
• die sprachliche Umstellung in 8.1 von "outsourced processes" auf "externally provided process, products or services",
• sowie mehrere redaktionelle Anpassungen an die harmonisierte Managementsystem-Struktur.

Die wichtigste Botschaft daraus lautet:

Der Hauptteil wurde eher nachgeschärft als neu erfunden.

1. Interessierte Parteien werden etwas klarer gefasst

Neu ist in Kapitel 4.2 der Zusatz, dass die Anforderungen interessierter Parteien bestimmt werden sollen, die durch das ISMS adressiert werden.

Das klingt klein, ist aber praktisch hilfreich. Denn damit wird klarer, dass nicht jede theoretisch denkbare Erwartung automatisch in vollem Umfang Teil des ISMS werden muss. Relevant ist, was Sie im Rahmen Ihres ISMS tatsächlich adressieren.

2. Änderungen am ISMS müssen geplant erfolgen

Mit 6.3 Planning for changes gibt es einen neuen eigenen Unterpunkt.

Die Aussage dahinter ist einfach: Änderungen am ISMS sollen nicht zufällig oder nebenbei passieren, sondern geplant. Das bringt ISO 27001 näher an die Logik anderer Managementsystemnormen heran. (Die ISO 9001 bspw. hat diesen Punkt schon lange.)

3. Der Umgang mit Controls wurde sprachlich präzisiert

In 6.1.3 c) und d) wurde sprachlich nachgeschärft.

Zwei Punkte sind erwähnenswert:

• Die Notes zu 6.1.3 c) wurden redaktionell überarbeitet.
• Die Formulierung in 6.1.3 d) wurde umgebaut, um Mehrdeutigkeiten zu vermeiden.

Für die Praxis heißt das: Die Logik rund um Vergleich mit Anhang A und Anwendbarkeitserklärung ist nicht völlig neu, aber sprachlich sauberer.

4. Extern erbrachte Leistungen werden anders benannt

In 8.1 wurde der Begriff "outsourced processes" ersetzt durch "externally provided process, products or services".

Das ist kein spektakulärer Praxisumbruch, aber es ist eine sprachlich präzisere und breitere Formulierung. Gerade im Lieferanten- und Dienstleisterkontext ist das sinnvoller als die alte, engere Sprache.

Der eigentliche Umbau steckt in Anhang A

Wenn man verstehen will, warum ISO 27001:2022 als relevante Revision wahrgenommen wurde, muss man auf Anhang A schauen.

Dort wurde die Struktur deutlich verändert:

• von 114 Controls auf 93 Controls;
• von 14 Kategorien auf 4 Themenbereiche;
• ergänzt um 11 neue Controls;
• plus 24 zusammengeführte und 58 überarbeitete Controls.

Die vier Themenbereiche in Anhang A sind jetzt:

• Organizational controls;
• People controls;
• Physical controls;
• Technological controls.

Das ist übersichtlicher als früher, macht die Umstellung aber nicht automatisch einfacher. Denn viele frühere Controls wurden zusammengelegt oder inhaltlich modernisiert.

Die 11 neuen Controls in ISO 27001:2022

Wer den Beitrag suchstark und nützlich machen will, sollte die neuen Controls klar benennen. Genau das ist für viele Leser der eigentliche Mehrwert.

Neu hinzugekommen sind diese 11 Controls:

• 5.7 Threat intelligence;
• 5.23 Information security for use of cloud services;
• 5.30 ICT readiness for business continuity;
• 7.4 Physical security monitoring;
• 8.9 Configuration management;
• 8.10 Information deletion;
• 8.11 Data masking;
• 8.12 Data leakage prevention;
• 8.16 Monitoring activities;
• 8.23 Web filtering;
• 8.28 Secure coding.

Das zeigt sehr klar, wohin die Revision inhaltlich wollte: mehr Aktualität bei Cloud, Entwicklung, Überwachung, Datenabfluss und Betriebsfähigkeit.

Was davon praktisch am meisten Gewicht hat

Nicht jedes neue Control ist für jedes Unternehmen gleich wichtig. In der Praxis stechen vor allem diese Themen heraus:

Cloud Services

Dass Cloud-Nutzung jetzt als eigenes Control sichtbar ist, passt zur Realität. Früher konnte man das noch gut im Lieferantenmanagement mit unterbringen. Jetzt ist das Thema expliziter.

Configuration Management

Das ist für viele Unternehmen relevanter, als es auf den ersten Blick aussieht. Denn hier geht es nicht nur um Admin-Technik, sondern um die belastbare Steuerung sicherheitsrelevanter Konfigurationen.

Information Deletion und Data Leakage Prevention

Beide Punkte machen deutlich, dass Schutz nicht nur aus Zugriffskontrolle besteht. Es geht auch darum, wie Informationen sicher gelöscht werden und wie unbeabsichtigter oder unzulässiger Abfluss verhindert wird. Viele Unternehmen hatten Incidents, in denen Daten abgeflossen sind, die eigentlich schon längst gelöscht gehört hätten. Das ist ärgerlich - und eigentlich vermeidbar.

Secure Coding

Für Softwareunternehmen ist das ein besonders sichtbarer Punkt. Das Thema war fachlich nicht völlig neu, aber jetzt deutlich klarer adressiert.

Weniger Controls heißt nicht automatisch weniger Aufwand

Das ist ein typischer Denkfehler.

Die Zahl ist von 114 auf 93 gesunken. Das bedeutet aber nicht, dass die Norm "kleiner" geworden wäre. Ein Teil der bisherigen Controls wurde schlicht zusammengeführt, neu gruppiert oder aktualisiert. Es gibt insgesamt  24 zusammengeführte Controls und 58 Controls, die ein Update erfahren haben.

Praktisch heißt das: Sie haben nicht automatisch weniger zu tun. Sie müssen nur anders auf die Controls schauen.

Neu ist auch die Logik mit Attributen und Purpose

Ein weiterer Unterschied, der in vielen Blogartikeln zu kurz kommt: Die neue 27002-Struktur arbeitet mit Attributes (#preventive, #detective, #corrective) und Purpose.

Die neue Struktur Purpose ersetzt die früheren gruppierten Control Objectives und zusätzliche, auswählbare Attribute wurden eingeführt. Diese Attribute sind nicht verpflichtend, helfen aber beim Clustern und Sortieren von Controls.

Das ist vor allem für Berater, Auditoren und Unternehmen hilfreich, die Controls systematischer auswerten oder anders strukturieren wollen.

Für wen die Unterschiede heute noch relevant sind

Auch wenn die Transition erledigt ist, bleibt die Frage nach den Unterschieden relevant für drei Gruppen:

• Unternehmen, die sich neu mit ISO 27001 beschäftigen
• Unternehmen, die bestehende Dokumentation oder SoA besser verstehen wollen
• Auditoren, Berater und interne Verantwortliche, die alte und aktuelle Fassung sauber auseinanderhalten müssen

Genau deshalb lohnt sich ein sauberer Vergleichsartikel auch heute noch.

FAQ

Interesse geweckt?

Wenn Sie Ihre bestehende Dokumentation, Ihre SoA oder Ihr ISMS sauber an der aktuellen ISO 27001-Logik ausrichten wollen, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!