Leitfaden zur Umstellung auf
ISO 27001:2022

ISO27001:2002

Die ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS) und wurde im Oktober 2022 nach neun Jahren erstmals grundlegend überarbeitet. Die neue ISO 27001:2022 bringt einige Änderungen für Unternehmen mit sich. 

Mit dem notwendigen Wissen und hilfreichen Ressourcen können Sie den Übergang zur ISO 27001:2022 in Ihrer Organisation deutlich erleichtern. Dieser Leitfaden liefert Ihnen alle wichtigen Informationen für einen erfolgreichen Übergangsprozess.

ISO 27001:2022: Der neue Standard für Informationssicherheit 

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er bietet Organisationen einen Rahmen, um ihre Risiken im Bereich Informationssicherheit und den Schutz sensibler Daten zu managen. 

Die neueste Version der ISO 27001 enthält mehrere Änderungen, die die Norm relevanter für die aktuelle Bedrohungslage macht und Organisationen noch besser dabei unterstützen soll, ihre Informationssicherheit zu verbessern. 

 

Warum ist der Übergang zur ISO 27001:2022 wichtig? 

Es gibt eine Reihe von Gründen, warum es für Ihre Organisation wichtig ist, zur ISO 27001:2022 überzugehen: 

  • dem neuesten internationalen Standard für Informationssicherheit entsprechen 

  • Kunden, Partnern und anderen Stakeholdern zeigen, dass sich Ihre Organisation der Informationssicherheit verpflichtet 

  • das Risiko von Datenverstößen und anderen Vorfällen reduzieren 

  • die betriebliche Effizienz und Effektivität steigern 

  • die Vertraulichkeit, Integrität und Verfügbarkeit von Daten weiter verbessern

Das könnte Sie auch interessieren: ISO 27001 Guide: Ihr Leitfaden für die Implementierung  

ISO 27001:2022 Übergangszeitplan

Der Übergangszeitraum für ISO 27001:2022 hat am 31. Oktober 2022 begonnen und endet nach 36 Monaten am 31. Oktober 2025. In dieser Übergangsphase haben Organisationen, die bereits nach ISO 27001:2013 zertifiziert sind, drei Jahre Zeit, um die Zertifizierung nach ISO 27001:2022 zu erhalten. Bis dahin können sie mit ihrer bestehenden Zertifizierung arbeiten und im Übergangszeitraums jederzeit zur neuen Version übergehen. Nach dem 31. Oktober 2025 sind Zertifizierungen nach ISO 27001:2013 nicht mehr gültig. 

Die Fristen für den Übergang sind somit üblich, da sie dem gewohnten Re-Zertifizierungsrhythmus entsprechen, den ISO 27001 ohnehin vorsieht. Dementsprechend müssen zertifizierte Unternehmen alle drei Jahre einen erneuten Auditprozess durchlaufen, um ihre Zertifizierung aufrechtzuerhalten. 

Wenn Sie bereits über eine Zertifizierung nach ISO 27001:2013 verfügen, haben Sie somit mehrere Möglichkeiten, die neue ISO 27001-2022-Zertifizierung zu erhalten. Je nachdem wo Sie sich aktuell in Ihrem Zertifizierungsrhythmus befinden, können Sie ein zusätzliches Übergangsaudit oder ein Übergangsaudit zusammen mit Ihrem jährlichen Überprüfungsaudit oder mit Ihrem Re-Zertifizierungsaudit durchführen. 

Der Übergangszeitraum wurde konzipiert, um Organisationen ausreichend Zeit zur Implementierung der von ISO 27001:2022 geforderten Änderungen zu geben. Da der Prozess jedoch komplex und je nach Umfang aufwändig sein kann, sollten Sie frühzeitig mit der Planung beginnen. Falls Sie noch keine Zertifizierung nach ISO 27001 haben, wird Ihre Erst-Zertifizierung direkt nach der neuen 2022er-Version stattfinden.  


Vector-1

Das sagen unsere Experten:

 

Ganz grundsätzlich gilt: Bereits seit vergangenem Oktober können sich alle Organisationen nach ISO 27001:2022 zertifizieren lassen.

 

Unternehmen, die derzeit noch nach ISO 27001:2013 zertifiziert sind, müssen bis spätestens zum 31.10.2025 umgestellt haben. Nach aktuellem Stand werden alle alten Zertifizierungen nach ISO 27001:2013 zu diesem Zeitpunkt auslaufen und ihre Gültigkeit verlieren.

 

Bis dahin sollten alle Organisationen weiter mit ihrem bestehenden ISMS nach ISO 27001:2013 arbeiten und es stetig verbessern – während sie sich gleichzeitig auf das Übergangsaudit vorbereiten. Derzeit besteht zudem die Möglichkeit, ein ISMS noch nach der 2013er-Version neu zertifizieren zu lassen (bis zum 31.10.2024).

 

Unser Tipp: Je früher Sie sich auf die neue ISO 27001:2022 einstellen, desto besser. So sparen Sie sich nicht nur Zeit und Geld, sondern auch jede Menge Nerven. .


Kyle Tackley
Team Lead – UK Tech and Privacy Practice

Was sind die wesentlichen Änderungen in ISO 27001:2022?

Die neue Version von ISO 27001 bringt einige Änderungen mit sich. Erfahren Sie, wie diese die Informationssicherheit in Ihrer Organisation verbessern können.

Ein Fokus auf risikobasiertes Denken  
Die überarbeitete Norm legt einen stärkeren Fokus auf risikobasiertes Denken, betont die Bedeutung von Menschen und Unternehmenskultur und führt neue Kontrollen zur Bewältigung aufkommender Bedrohungen ein. Diese Änderungen sollen Organisationen helfen, ihre Informationssicherheit effektiver zu managen.
 

Eine stärkere Betonung der Bedeutung von Menschen und der Unternehmenskultur  
Die neue Norm erkennt an, dass Menschen ein entscheidender Bestandteil eines jeden Informationssicherheitsprogramms sind, und betont die Wichtigkeit, eine Kultur der Informationssicherheit innerhalb von Organisationen zu schaffen. Hierzu gehören Mitarbeiterschulungen zu Best Practices der Informationssicherheit und die Förderung einer sicherheitsbewussten Denkweise in der gesamten Organisation.
 

Verstärkter Fokus auf die Prozessorientierung 
Ein wesentlicher Bestandteil der neuen Version ist der verstärkte Fokus auf die Prozessorientierung. Die Norm fordert eine enge Verknüpfung der Informationssicherheitsmaßnahmen und -prozesse mit den Geschäftsprozessen der Organisation. Dies soll sicherstellen, dass Informationssicherheit ein integraler Bestandteil des täglichen Betriebs wird und nicht als isolierte Aufgabe betrachtet wird. 

Die Einführung neuer Kontrollen zur Bewältigung aufkommender Bedrohungen
ISO 27001:2022 enthält eine Reihe neuer Kontrollen, um aufkommende Bedrohungen wie Social Engineering und Cloud-Computing effektiv zu bewältigen. Diese Kontrollen sollen Organisationen dabei helfen, den neuesten Bedrohungen einen Schritt voraus zu sein und wichtige Assets zu schützen. 

Eine neue Gliederung der Norm 
In der neuen Version des Standards ändert sich die Aufteilung der Anhang-A-Kontrollen. Sie werden in kleinere Gruppen danach aufgeteilt, welchen Unternehmensbereich sie am meisten schützen. Dies vereinfacht die zuvor kompliziertere Aufteilung in 14 Kontrollgruppen. 

Blitzschnell zur ISO 27001-Zertifizierung.


Reduzierung der manuellen Arbeit um bis zu 75%

DG Seal ISO 27001

Wie ändern sich die einzelnen Abschnitte in ISO 27001:2022? 

Im Folgenden erfahren Sie, welche Aspekte sich in den einzelnen Abschnitten der neuen ISO 27001:2022 ändern. 

Kontext und Anwendungsbereich 
Die Anwendungsbereichsklausel gilt nun für „relevante“ Anforderungen interessierter Parteien und notwendiger Prozesse. Das bedeutet, dass Organisationen die Bedürfnisse all ihrer Stakeholder berücksichtigen müssen, nicht nur die ihrer Kunden und Lieferanten. 

Planung 
In der überarbeiteten Version fordert die Planungsklausel, dass Organisationen ihre Ziele für die Informationssicherheit definieren und regelmäßig überwachen und überprüfen. Dies ist eine Änderung gegenüber der früheren Version, die lediglich verlangte, dass Organisationen ihre Richtlinien zur Informationssicherheit definieren. 

Unterstützung 
Die aktualisierte Unterstützungsklausel verlangt, dass Organisationen klare Kommunikationswege für Sicherheitsrisiken etablieren. Dies beinhaltet die regelmäßige Schulung der Mitarbeiter und die Sicherstellung, dass alle relevanten Informationen zu Sicherheitsrisiken effektiv kommuniziert werden. 

Durchführung 
Die Durchführungsklausel wurde erweitert, um sicherzustellen, dass Organisationen auch „extern erbrachte Prozesse, Produkte oder Dienstleistungen” kontrollieren, die für ihr ISMS relevant sind. Diese Änderung betont die Notwendigkeit einer umfassenden Kontrolle über alle Informationssicherheitsaspekte, einschließlich externer Partner und Lieferanten. 

 

Die neue Struktur der Anhang-A-Kontrollen in ISO 27001:2022

Die neue Struktur der Anhang-A-Kontrollen ist eine deutliche Verbesserung gegenüber der vorherigen Version. Sie erleichtert es Organisationen, ein effektives Informationssicherheits-Managementsystem zu implementieren und ihre Assets vor Bedrohungen zu schützen. 

Die Kontrollen sind in die vier Säulen der Informationssicherheit gegliedert 

Die Struktur folgt den vier Säulen der Informationssicherheit und umfasst somit organisatorische, personenbezogene, physische und technologische Kontrollen. Dies ist eine deutliche Verbesserung gegenüber der vorherigen Version, die 14 Kontrolldomänen hatte. Die neue Struktur soll es Organisationen erleichtern, die für ihre Bedürfnisse relevantesten Kontrollen auszuwählen und umzusetzen. 

  • Die organisatorische Kategorie umfasst 37 Kontrollen, die die allgemeine Verwaltung der Informationssicherheit in einer Organisation behandeln, wie die Festlegung einer Informationssicherheitsrichtlinie und die Durchführung von Risikobewertungen. 

  • Die personenbezogene Kategorie enthält 8 Kontrollen zur Rolle von Personen in der Informationssicherheit, wie die Schulung von Mitarbeitern zu den Best Practices der Informationssicherheit, die Durchführung von Background-Checks bei Neueinstellungen und die Zugangsverwaltung von Benutzern zu sensiblen Informationen. 

  • Die physische Kategorie fasst 14 Kontrollen zusammen, die die physische Sicherheit von Informationswerten behandeln, wie die Sicherung von Gebäuden und Einrichtungen, den Schutz von Computerräumen und die Entsorgung sensibler Dokumente. 

  • Die technologische Kategorie beinhaltet 34 Kontrollen bezüglich technologischer Aspekte der Informationssicherheit, wie die Implementierung von Firewalls und Antivirensoftware, die Verschlüsselung von Daten und die Verwaltung des Zugriffs auf Informationssysteme. 


ISO 27001:2022 enthält elf neue Kontrollen

Zusätzlich zur neuen Struktur enthält ISO 27001:2022 auch elf neue Kontrollen. Sie sind darauf ausgelegt, vor neuen Bedrohungen wie Cloud-Computing und Social Engineering zu schützen. Die neuen Kontrollen sollen auch die Effektivität von Informationssicherheits-Managementsystemen verbessern, indem sie Organisationen mehr Optionen zur Risikominderung bieten. 

Die folgenden Kontrollen wurden neu eingeführt: 

  • Bedrohungsinformationen: Informationen über potenzielle Bedrohungen der Informationssicherheit sammeln und analysieren, um Risiken zu mindern 

  • Informationssicherheit bei der Nutzung von Cloud-Diensten: Risiken, die mit der Nutzung von Cloud-Diensten verbunden sind, bewerten und managen 

  • ICT-Bereitschaft für die Geschäftskontinuität: Sicherstellen, dass Informations- und Kommunikationstechnologiesysteme (ICT) im Falle von Störungen widerstandsfähig und betriebsbereit bleiben 

  • Physische Sicherheitsüberwachung: Die physischen Sicherheitssysteme kontinuierlich überwachen, um Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren 

  • Konfigurationsmanagement: Die Konfiguration der Informationssysteme managen, um zu gewährleisten, dass sie sicher sind 

  • Informationen löschen: Sensible Informationen sicher löschen, wenn sie nicht mehr benötigt werden 

  • Datenmaskierung: Sensible Informationen anonymisieren, um unbefugten Zugriff zu verhindern 

  • Datenlecks verhindern: Verhindern, dass sensible Informationen außerhalb der Organisation geleakt werden 

  • Aktivitäten überwachen: Sicherheitsrelevante Aktivitäten kontinuierlich überwachen, um Bedrohungen zu erkennen 

  • Webfilterung: Den Zugriff auf Web-Inhalte kontrollieren, um den Zugriff auf böswillige Websites zu verhindern 

  • Sichere Codierung: Sicheren Code entwickeln und verwenden, um die Informationssysteme zu schützen

Mit der Einführung dieser neuen Anhang-A-Kontrollen könnten Organisationen je nach Risikoeinschätzung und Anforderungen dazu verpflichtet sein, mehr als 15 neue ISMS-Dokumente, Richtlinien und Verfahren in ihr ISMS zu integrieren.

In nur 3 Monaten bereit für das ISO 27001 Audit


Ihr ISO 27001-Zertifizierungsprozess leicht gemacht.

DG Seal ISO 27001

Ihre Roadmap für den Übergang zur ISO 27001:2022

Der Übergang zur ISO 27001:2022 kann eine anspruchsvolle Aufgabe sein. Indem Sie einer strukturierten Roadmap folgen, können Sie den Übergang vereinfachen und den neuen Standard erfolgreich umsetzen. 

Hier sind die wichtigsten Schritte auf Ihrer Roadmap: 

  • Sensibilisierung schaffen: Der erste Schritt besteht darin, in Ihrer Organisation Bewusstsein für den Übergang zu schaffen. Dies beinhaltet, die Vorteile des neuen Standards und den Zeitplan für den Übergang zu kommunizieren. Indem Sie Schulungen durchführen, können sich Ihre Mitarbeitenden mit den aktualisierten Anforderungen, Kontrollen und Konzepten vertraut machen. 

  • Change-Management-Prozess anwenden: Ein wesentlicher Schritt in der Roadmap ist die Anwendung des definierten Change Managements. Dieser Prozess stellt sicher, dass alle Änderungen, die zur Erfüllung der neuen Anforderungen notwendig sind, systematisch und kontrolliert durchgeführt werden. 

  • Eine Änderungs- und Gap-Analyse durchführen: Die Durchführung einer Änderungs- und Gap-Analyse hilft Ihnen dabei, die Bereiche zu identifizieren, in denen Ihr aktuelles Informationssicherheits-Managementsystem aktualisiert werden muss, um den Anforderungen von ISO 27001:2022 zu entsprechen. 

  • Die Dokumentation überprüfen und aktualisieren: Nachdem Sie die Lücken identifiziert haben, müssen Sie Ihre ISMS-Dokumentation überprüfen und aktualisieren. Dazu gehören neben Ihren Dokumenten auch Richtlinien und Verfahren. 

  • Ein internes Audit durchführen: Führen Sie ein internes Audit durch, sobald Ihre Dokumentation aktualisiert ist. Damit stellen Sie sicher, dass Ihr ISMS den Anforderungen des neuen Standards entspricht. 

  • Management-Review durchführen: Eine Management-Review ist ein kritischer Bestandteil des Übergangsprozesses. Das Top-Management sollte das ISMS regelmäßig überprüfen, um sicherzustellen, dass es weiterhin geeignet, angemessen und wirksam ist. 

  • Übergangsaudit durchführen: Nachdem Sie alle Lücken behoben haben, können Sie das Übergangsaudit durchführen. Dies ist eine abschließende Überprüfung, um sicherzustellen, dass Ihr ISMS den Anforderungen des neuen Standards entspricht. 

  • Kontinuierliche Verbesserung aufrechterhalten: Nach dem Übergang zur ISO 27001:2022 ist es wichtig, Ihr ISMS fortlaufend zu verbessern. Dafür sollten Sie Ihr ISMS regelmäßig überprüfen, um sicherzustellen, dass es immer noch effektiv ist und Ihre Assets vor neuen Bedrohungen schützt. 

Tipps für einen erfolgreichen und reibungslosen Übergang  

Neben der Roadmap gibt es einige weitere Tipps, die sie befolgen können, um den Übergang zur ISO 27001:2022 erfolgreich zu gestalten.  

Holen Sie sich Unterstützung Ihrer oberen Führungsebene und beziehen Sie durch regelmäßige Kommunikation alle Stakeholder ein, um den Erfolg des Übergangsprozesses sicherzustellen. Es ist zudem hilfreich, sich realistische Ziele und Meilensteine zu setzen, um den zeitlichen Rahmen einzuhalten.  

Nutzen Sie den Übergang als Gelegenheit, Ihre gesamten ISMS-Prozesse zu optimieren und die Bedeutung der Informationssicherheit für Ihre Mitarbeitenden und Stakeholder zu kommunizieren. Durch eine proaktive Herangehensweise an die Übergangsphase erreichen Sie nicht nur Compliance mit der neuesten Version des ISO 27001-Standards, sondern können die gesamte Informationssicherheitshaltung Ihres Unternehmens verbessern. 

Warum Unternehmen DataGuard vertrauen

sucess

3 Monate

In nur 3 Monaten bereit für das Audit

workload-1

75%

Bis zu 75% weniger Arbeitsaufwand im Vergleich zur manuellen Bearbeitung

save

50%

Bis zu 50% günstiger als externe Berater

certified-2

100%

Bislang haben alle unsere Kunden bei externen Audits zu ISO 27001 und TISAX® beim ersten Versuch bestanden

reduce_risks

50%

Beseitigen Sie bis zu 50% der größten Risiken Ihres Unternehmens bereits in den ersten 8 Wochen

customer_experience

4.000+

Viele namhafte Marken mit 4.000+ Kunden vertrauen uns.