Lange mussten wir auf die neue Ausgabe warten, nach neun Jahren wurde Ende Oktober die neue Ausgabe herausgegeben. Bislang ist diese nur in Englisch verfügbar (https://www.iso.org/standard/82875.html). Mit der deutschen Übersetzung ist in ca. einem Jahr zu rechnen. Der Aufbau entspricht nun dem aus anderen ISO-Normen gewohnten Bild. Sei es ISO 9001 (Qualitätsmanagement), ISO 22301 (Business Continuity) oder weiteren, die Struktur ist nun identisch. Die Kapitel 9.2 (Internal Audit) und 9.3 (Management Review) haben Unterkapitel erhalten. Die Kapitel 10.1 (Neu: Continual improvement) und 10.2 (Neu: Nonconformity and corrective action) haben ihre Positionen gewechselt.
Aufgefallen ist, dass durchgängig «International Standard» durch «document» ersetzt wurde. Die Definitionen von Begriffen sind schon länger in ISO 27000 enthalten und können kostenlos unter
https://www.iso.org/obp abgefragt werden.
Änderungen
Nachfolgend wird auf die geänderten Text-Passagen eingegangen (Hinweis: Deutsche Übersetzungen sind vom Autor. Diese können von der zukünftigen offiziellen Version abweichen):
- Im Kapitel 4.2 (Understanding the needs and expectations of interested parties / Verstehen der Erfordernisse und Erwartungen interessierter Parteien) wurde ein weiterer Punkt ergänzt: Die Organisation muss festlegen, welche dieser Anforderungen durch das Informationssicherheits-Managementsystem (ISMS) erfüllt werden sollen.
- Im Kapitel 4.4 (ISMS) wurde der bestehende Satz mit dem fetten Teil ergänzt: «Die Organisation muss in Übereinstimmung mit den Anforderungen dieses Dokuments ein ISMS einrichten, umsetzen, aufrechterhalten und kontinuierlich verbessern, einschliesslich der erforderlichen Prozesse und ihrer Wechselwirkungen.»
- In Kapitel 5.1 (Leadership and commitment / Führung und Verpflichtung) kam eine Fussnote dazu, die erläutert, dass der Begriff «Business» weit ausgelegt werden kann, um Aktivitäten zu bezeichnen, die die für den Zweck der Organisation von zentraler Bedeutung sind.
- Viele Berater und Auditoren sind über die Fussnote 2 in Kapitel 6.1.3 (Information security risk treatment / Informationssicherheitsrisikobehandlung) froh. «Anhang A enthält eine Liste der möglichen Informationssicherheitskontrollen.» In vielen Audits gab es Diskussionen, ob nun alle Kontrollen umgesetzt werden müssen oder nicht. Diese sind zwar mit dem zusätzlichen Wort «möglichen» noch nicht ganz vom Tisch, aber es zeigt, dass hier Spielraum vorhanden ist.
- Das Erstellen einer SoA (Statement of Applicability / Erklärung zur Anwendbarkeit) wurde bereits mit dem Technical Corrigendium 2 im Dezember 2015 korrigiert und nun nochmals bestätigt.
- Im Kapitel 6.2 (Information security objectives and planning to achieve them / Informationssicherheitsziele und Planung zu deren Erreichung) wurde zu den Informationssicherheitszielen «überwacht» und «als dokumentierte Informationen verfügbar sein» ergänzt.
- Ein neues Kapitel ist die 6.3: «Planung von Änderungen». Darin wird verlangt: «Wenn die Organisation feststellt, dass Änderungen am ISMS notwendig sind, müssen die Änderungen geplant durchgeführt werden.» Eigentlich selbstverständlich, aber nun auch als Muss-Anforderung enthalten.
- Das Kapitel 7.4 (Communication / Kommunikation) wurden die Punkte d) und e) als «wie kommuniziert wird» zusammengefasst.
- Einige Modifikationen hat das Kapitel 8.1 (Operational planning and control / Betriebliche Planung und Steuerung) erfahren. Es wird verlangt, dass zur Steuerung Kriterien für die Prozesse festgelegt und Kontrollen in Übereinstimmung mit diesen durchgeführt werden. Weiter müssen Dokumentationen so verfügbar sein, dass damit ein Nachweis über die korrekte Funktionsweise der Prozesse möglich ist. Auch wird auf extern bezogene Prozesse hingewiesen: «Extern bereitgestellte Prozesse, Produkte oder Dienstleistungen müssen kontrolliert werden.»
- Im Kapitel 9.1 (Monitoring, measurement, analysis and evaluation / Überwachung, Messung, Analyse und Bewertung) wurden die Sätze umgestellt, um den Lesefluss zu verbessern. Neu dazu gekommen ist, dass zum Nachweis der Ergebnisse dokumentierte Informationen verfügbar sein müssen.
- Das Kapitel 9.2 (Internal audit / Internes Audit) wurde komplett neu unterteilt. Es hat nun die Kapitel 9.2.1 (General / Allgemein) und 9.2.2 (Internal audit programme / Internes Auditprogramm). Inhaltlich hat sich aber nichts geändert.
- Analoges gilt auch für das Kapitel 9.3 (Management review / Managementbewertung). Es ist unterteilt in 9.3.1 (General / Allgemein), 9.3.2 (Management review inputs / Inhalte Managementbewertung) und 9.3.3 (Management review results / Resultate Managementbericht). Dazu gekommen ist in 9.3.2, dass auch Änderungen der Bedürfnisse und Erwartungen der interessierten Parteien, die für das ISMS relevant sind, behandelt werden.
- Wie bereits erwähnt, haben die Kapitel 10.1 und 10.2 ihre Positionen gewechselt. Inhaltlich hat sich aber nichts geändert.
Massnahmen-Gliederung
Die grosse Änderung ist im Anhang A zu finden: Information security controls reference, in der deutschen Ausgabe «Referenzmassnahmenziele und -massnahmen» genannt. Die Struktur wurde komplett neu aufgebaut. Anstelle von 114 sind es «nur» noch 93. Und dies, obschon elf neue dazu gekommen sind und nur eines gestrichen wurde. Einige der Massnahmen wurden sinnvollerweise zusammengefasst. Die dazu gehörende ISO 27002 wurde bereits Mitte Februar 2022 veröffentlicht. Ein Entwurf der deutschen Ausgabe wurde im August den interessierten Personen zur Verfügung gestellt.
Die Massnahmen werden in folgende Kategorien eingeteilt:
- Menschen (Kapitel 8, 34 Anforderungen), wenn sie einzelne Menschen betreffen;
- Physisch (Kapitel 7, 14 Anforderungen), wenn sie physische Objekte betreffen;
- Technologisch (Kapitel 6, 8 Anforderungen), wenn sie die Technik betreffen;
- ansonsten werden sie als organisatorisch (Kapitel 5, 37 Anforderungen) eingestuft.
Neue Massnahmen
Die nebenstehnende Tabelle beschreibt kurz die elf neuen Kontrollen.
Wie geht es nun weiter?
Eine erste Zertifizierung nach der neuen ISO 27001:2022 ist in einigen Ländern bereits seit November möglich. Die
Schweizerische Akkreditierungsstelle SAS hat angekündigt, dass sie ein halbes Jahr benötigt, um die Anforderungen an die Zertifizierungsstellen fertig zu stellen. Gemäss Abklärungen führen die Zertifizierungsstellen ab April 2023 Zertifizierungen nach der neuen Norm durch.
Die letzte Möglichkeit für eine Erst- oder Rezertifizierung nach der alten ISO 27001:2013 (Englische Ausgabe) bzw. 2017 (Deutsche Ausgabe) ist 18 Monate, bzw. April 2024. Hinweis: damit sind nicht die Aufrechterhaltungs-Audits gemeint.
Bestehende Zertifizierungen haben eine Gültigkeit von 3 Jahren, d.h. max. bis Oktober 2025. Bis dahin müssen alle Informationssicherheitsmanagementsysteme (ISMS) auf die neue Norm angepasst sein.
Fazit
Die neue Ausgabe der ISO 27001:2022 hat vor allem kosmetische Änderungen erfahren. Einige Klarstellungen sind vorhanden, aber ein Wechsel benötigt keinen riesigen Aufwand. Dieser versteckt sich in den angepassten Massnahmen. Vor allem die elf zusätzlichen Kontrollen bescheren einiges an Aufwand. Auch wenn noch drei Jahre Zeit bis zum Wechsel bleiben, sollte sich jedes bereits zertifizierte Unternehmen damit auseinandersetzen und einen Projektplan zur Migration erstellen, damit nicht am Ende doch noch ein (unnötiger) Zeitdruck entsteht.
Der Autor
Andreas Wisler ist Inhaber der Firma
goSecurity AG. Er ist CISA, CDPSE, ISO 22301, 27001 sowie der erste Schweizer ISO 27701 Lead Auditor. Seit über 20 Jahren ist er im IT-Sicherheitsbereich tätig und unterstützt Firmen beim Aufbau eines ISMS und der Erlangung des ISO 27001 Zertifikats. Alle zwei Wochen veröffentlicht er den Podcast «Angriffslustig», zu abonnieren unter
https://angriffslustig.ch.
