ISO 27001:2022 – Die Unterschiede
Seit Ende 2022 ist sie da, die neue Version der ISO 27001:2022 – Die Unterschiede zwischen beiden Versionen erklären wir in diesem Artikel.
ISO 27001:2022: Alles neu macht der Mai – Wirklich alles?
Zunächst einmal die gute Nachricht: Das allermeiste im Hauptteil der Norm bleibt gleich. Es gibt hier drei (kleinere) inhaltliche Änderungen und ein paar weiter Änderungen, die jedoch nur ein paar Unterüberschriften einfügen, um die Struktur zu verbessern.
Zu den beiden Änderungen im Hauptteil der Norm:
- Interessierte Parteien: Schon in der ISO 27001:2017 war es erforderlich (Kapitel 4.2), die Interessierten Parteien und ihre Wünsche zu bestimmen. In der Version 2022 können Sie jetzt aber entscheiden, welche der Ihnen bekannten Interessierten Parteien Sie ernst nehmen – und welche nicht.
- Betriebliche Planung und Steuerung: Kapitel 8.1 ist etwas strenger geworden. Die Anforderungen an die Prozesse, die Sie in Ihrer Organisation benötigen, um Informationssicherheit zu verfolgen, sind deutlicher: Zwar fordert die ISO 27001:2022 nicht direkt, dass alle Prozesse beschrieben sein müssen – aber die Kriterien an eine Verschriftlichung sind genauer. Und es ist zu erwarten, dass Auditoren gewissenhafter hinschauen werden.
- Änderungen am ISMS: Kapitel 6.3 ist komplett neu. Es besagt lediglich, dass Änderungen am ISMS nicht "einfach so" geschehen sollen, sondern gesteuert werden müssen. Damit gleicht sich die ISO 27001 nur ihren "Schwestern", der ISO 9001, 14001, 45001 etc. an, die alle der "High Level Structure" folgen und ein weitgehend identisches Inhaltsverzeichnis haben.
Nachdem ja nun die Änderungen im Hauptteil recht "übersichtlich" waren, schauen wir uns mal den Anhang A an.
Der Anhang A - kein Stein bleibt auf dem anderen!
Und genau so sieht es aus. Die Knapp 120 Einzelmaßnahmen aus ISO 27001:2017 werden zusammengedampft auf 93. Leider wird es dadurch nicht einfacher, denn eine Reihe an Maßnahmen sind zu jeweils einer einzigen vereinigt worden.
Und: Es kommen einige komplett neue Maßnahmen hinzu. Schauen wir sie uns doch einmal an:
Threat Intelligence
Sowohl auf strategischer (Geschäftsführung) als auch auf operativer
und taktischer (bspw. IT) Ebene werden aufkommende Bedrohungen aktiv gesammelt, damit frühzeitig darauf reagiert werden kann.
Information Asset Management
Die ISO 27001 verlangt jetzt auch explizit, dass Informationswerte (primary assets) denselben Regeln unterliegen wie Informationsträger (supporting assets). D.h. die Eigentümerschaft muss geregelt werden, die Zugänge zu den Informationswerten, Rückgabe der Zugänge u.v.m. – in der ISO 27001:2017 konnte man sich hier noch recht gut auf die Informationsträger beschränken. Das geht nun nicht mehr.
Web Filtering
Zugang zu externen Webseiten muss ab sofort gemanagt werden, damit Mitarbeiter der Organisation nicht unabsichtlich Malware herunterladen oder Zugang zu Ressourcen haben, den sie nicht haben sollen.
Identity Management
Wird ganzheitlicher verlangt – über den gesamten Lebenszyklus von Identitäten, die Zugang zu Informationswerten und Informationsträgern haben sollen (menschliche sowie auch maschinelle Identitäten).
Laden Sie hier unser Whitepaper zu den Änderungen herunter.
Information Security bei Nutzung von Clouddiensten
Seit 2017 hat sich die Welt weitegedreht – alle Welt nutzt Clouddienste! Prinzipiell war das Thema bereits in der ISO 27001:2017 abgedeckt, im Bereich des Lieferantenmanagements. Jetzt gibt es hier aber einige konkrete Anforderungen. Beispielsweise: Wie stellt die Organisation sicher, dass sie ihre Daten aus dem Cloudsystem wieder in weiter verarbeitbarer Form herausbekommt, wenn zu einem anderen System gewechselt werden soll (Stichwort „lock in prevention“)?
Informationssicherheit während Ausfällen
Ausfälle können immer passieren. Aber welchen Grad an Informationssicherheit (meist Verfügbarkeit) möchte die Organisation denn bei dem Ausfall welches Dienstes oder welches Geräts noch aufrechterhalten? Auch dieses Thema war (etwas versteckt) im Thema Business Continuity in der ISO 27001:2017 bereits enthalten – bzw. konnte man es dort abdecken. Jetzt ist es explizit gefordert.
Sicherheit im Home-Office
Auch die ISO 27001:2022 kennt Corona und weiß, dass Mitarbeiter im Home-Office in aller Regel eine deutlich unsicherere Infrastruktur zur Verfügung haben als im Büro. Dies ist ab sofort zu regeln.
Event Reporting
Hiermit ist keine automatisierte Suche in Logfiles gemeint – Mitarbeiter sollen Möglichkeiten kennen, mit denen sie einfach und schnell mögliche Informationssicherheitsvorfälle melden oder weiterleiten können.
Zugangsbeschränkungen gem. Policy
Wer auf welche Informationen Zugriff haben kann, darf und soll, muss sich aus einer Policy ergeben, die sich aus der Informationssicherheitsstrategie ableitet (und nicht im Gutdünken eines Entscheiders liegen). Dies gab es so explizit in der ISO 27001:2017 noch nicht. Hier war nur ein „formeller Prozess“ gefordert.
Configuration Management
Für die Sicherheit wichtige Konfigurationen von Systemen (Hardware, Software, Dienste, Netzwerke, …) müssen etabliert, dokumentiert und aufrechterhalten werden. Diese Forderung gab es so in der Vorgängerversion der Norm noch nicht. Das ließ sich bisher etwa in den "dokumentierten Bedienverfahren" unterbringen. Bzw. können Sie es bei einem Umstieg auf die neue Version eventuell dort "herholen".
Data Masking
Daten werden nach bestimmten Regeln pseudonymisiert oder anonymisiert, damit die schützenswerten Bestandteile nicht zu unberechtigten Personen gelangen.
Löschkonzept (und zwar nicht nur für personenbezogene Daten)
Ab sofort muss es ein Löschkonzept geben (das natürlich auch umgesetzt wird) für die Datenarten, die in der Organisation gespeichert werden. Für die DSGVO war das bereits gesetzliche Pflicht. Die ISO 27001:2022 macht dies nun verpflichtend für alle schützenswerten Informationsarten.
Data Leakage Prevention
Dies ist wohl eine der „härtesten Nüsse“, die uns die neue ISO 27001:2022 mitgibt. Die Anforderung ist hier, dass eine Organisation sich überlegen muss, auf welchen Wegen geschützte Informationen unabsichtlich „abhanden“ kommen können (Meetings, Emails, Uploads auf Server, unverschlüsselte abhanden gekommene Laptops oder Mobiltelefone, Ablage auf den falschen – weil allen Mitarbeitern zugänglichen – internen Fileservern u.v.m.) und dies durch geeignete technische und möglicherweise auch organisatorische Maßnahmen durchsetzt.
ISO 27001:2022 – Die Unterschiede: Unser Tipp
Wir haben Ihnen in diesem Artikel die "Neuerungen" der ISO 27001:2022 einmal aufgelistet. Wenn Sie bereits jetzt eine ISO 27001:2017 Zertifizierung haben, beachten Sie bitte, dass es eine Übergangsfrist gibt: Bis spätestens 2025 müssen Sie Ihre Zertifizierung auf die neue Version (2022) umgestellt haben.
Interesse geweckt?
ISO 27001:2022 – die Unterschiede sind doch schon beträchtlich! Wollen wir einmal darüber unverbindlich und kostenfrei sprechen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!