Änderungen bei ISO 27002 und 27001: Was das für Unternehmen bedeutet

Illustration: Absmeier Bingodesign

Seit Jahren unterstützt die internationale ISO/IEC 27000-Normenwelt Unternehmen darin, Informationssicherheit effizient und ganzheitlich zu handhaben und Informationssicherheitsrisiken zu reduzieren. Vor Kurzem ist nun Bewegung in diese Normenfamilie gekommen: 2022 hat die International Accreditation Forum (IAF) zunächst die ISO 27002 und im Oktober dann auch die ISO 27001 überarbeitet und in allen Bereichen an die aktuelle Bedrohungslage angepasst.
Patrycja Schrenk, IT-Sicherheitsexpertin und Geschäftsführerin der PSW GROUP (www.psw-group.de), begrüßt die Änderungen der Normen: »Neben mehr Praxisnähe kommt jetzt insbesondere das Thema Datenschutz neben der Informationssicherheit stärker zum Tragen. In Zeiten der Zunahme von Attacken auf Organisationen bietet insbesondere der neue Blickwinkel auf die Cybersicherheit und den Datenschutz für die Unternehmen einen echten Mehrwert, welche bisher nur die Compliance auf dem Schirm und das Thema Informationssicherheits-Managementsystem eher als Last empfunden hatten.«
Die ISO 27001 ist der internationale Standard für die Realisierung eines Informationssicherheit-Managementsystems (ISMS). Ein ISMS nach ISO 27001 gewährleistet, dass Daten sowohl optimal genutzt als auch sicher verwahrt werden. Die ISO 27002 ergänzt die Sicherheitsmaßnahmen der ISO 27001 um konkrete Umsetzungsempfehlungen und stellt damit eine Art Leitfaden bereit. Mit der Neufassung der beiden ISO-Normen wurden umfangreiche Änderungen, sowohl an der Struktur, wie auch beim Inhalt vorgenommen.
Sofort auffällig bei der ISO 27001:2022 ist bereits die Namensänderung: Aus »Informationstechnologie – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen« wurde mit der Neufassung »Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen«. »Bereits der neue Titel macht klar, dass sich die Schutzziele verändert haben. Cybersicherheit und Datenschutz erhalten einen größeren Stellenwert und werden explizit hervorgehoben. Insgesamt sind die neuen Maßnahmen praxisnäher geworden und in der Beschreibung detaillierter. Sie adressieren die neuen Aspekte Datenschutz und Informationssicherheit verstärkt, und sind vor allem auch zusammengefasst worden, wo zuvor einzelne Maßnahmen für sich alleinstehend wenig Sinn ergeben haben«, erklärt Schrenk. So wurden 114 Maßnahmen zu 93 in den neuen Versionen zusammengefasst, wobei hier bereits 11 neue Maßnahmen enthalten sind. Zudem hat jede Maßnahme nun einen eigenen Zweck.
»Die Neuerungen in der überarbeiteten Fassung der ISO 27001 sind erkennbar, jedoch erfordern sie in Unternehmen keinen völlig neuen Umgang mit dem Thema Informationssicherheit oder irgendwelchen größeren Veränderungen an einem bereits bestehenden Informationssicherheits-Managementsystem. Mit der ISO 27001:2022 wurden vielmehr längst überfällige Anpassungen an das wachsende Verständnis von Informationssicherheit vorgenommen. In ihren wesentlichen Aussagen und Anforderungen ist sie jedoch identisch zur Vorgängerversion«, betont die IT-Sicherheitsexpertin.
Die wesentlichsten Änderungen der ISO 27002 lassen sich bereits bei der Betrachtung des Inhaltsverzeichnisses erkennen: Aus ursprünglich 14 Abschnitten werden 4 Themenbereiche, die grob die Maßnahmen nach personellen, physischen und technischen Maßnahmen strukturieren. Maßnahmen, die keinem dieser Bereiche zugeordnet werden können, finden sich im Thema der organisatorischen Maßnahmen. Die neue Struktur sorgt damit für deutlich mehr Übersicht.

ISO 27002/27001 Update – Das sollten Unternehmen berücksichtigen
Das International Accreditation Forum hat sich auch zu den Übergangsfristen zur Umstellung auf die neue ISO 27001 geäußert und sie auf 3 Jahre festgelegt. Die Frist liegt damit im regulären Re-Zertifizierungsrhythmus, nach dem zertifizierte Unternehmen alle drei Jahre einen komplett neuen Auditprozess durchlaufen müssen, um ihre Zertifizierung aufrechtzuerhalten.
Was das konkret bedeutet, erklärt Schrenk: »Für die Umstellung aller bestehenden Zertifikate auf die neue ISO 27001:2022 haben Unternehmen drei Jahre Zeit, bezogen auf den letzten Tag des Ausgabemonats, der ja im Oktober 2022 war, – also bis Oktober 2025. Unternehmen, die sich nach der neuen ISO 27001:2022 zertifizieren lassen möchten, können dies voraussichtlich ab Februar dieses Jahres tun. Abhängig von der Deutschen Akkreditierungsstelle GmbH kann sich dieser Termin auch noch ein paar Wochen nach hinten bis in den April hinein verschieben. Der letzte Termin für ein Erst- oder Rezertifizierungsaudits nach der früheren ISO 27001:2013 ist 18 Monate nach Veröffentlichung der neuen ISO 27001:2022 möglich. Da die Neufassung im Oktober 2022 veröffentlicht wurde, ist also noch bis Ende des ersten Quartals 2024 Zeit dafür«.
Unternehmen, die aktuell nach der Vorgängerfassung zertifiziert sind, können sich folglich beim nächsten regulär anstehenden Audit nach der ISO 27001:2022 zertifizieren lassen. Das gleiche gilt für Unternehmen, die sich erstmals zertifizieren lassen möchten. »Grundsätzlich ist das Audit noch bis Oktober 2025 auch nach der Vorgängerversion möglich. Ich rate jedoch zur Zertifizierung nach der neuen Fassung. Denn dann muss nach Ablauf der Übergangsfrist keine erneute Auditierung angesetzt werden«, so Schrenk.

Anzeige

 

ISO-Normenwelt ist weiter in Bewegung
Sukzessive werden auch weitere Normen, die sich an der ISO 27001 sowie der ISO 27002 ausrichten, aktualisiert. Dies sind insbesondere die Umsetzungsleitfäden der ISO 27001, wie auch die branchen- und maßnahmenspezifischen Leitfäden der ISO 27002. Bereits zeitgleich mit der neuen ISO 27001 wurde beispielsweise bereits die Norm ISO 27005, die eine Anleitung zum Risikomanagement darstellt, aktualisiert. »Es bleibt abzuwarten, in welche Richtung sich die Normen weiterbewegen, wenngleich zunächst etliche Normen erst einmal an die neuen Strukturen angeglichen werden, bevor mit neuen Aktualisierungen zu rechnen ist. Auch bleibt abzuwarten, wie nun andere Standards, die sich an der ISO 27000er-Normenfamilie orientieren, auf die Veränderungen reagieren. Dies sind unter anderem VDA-ISA bzw. das TISAX-Labelprogramm, wie auch der BSI IT Grundschutz und (C)ISIS12«, so Patrycja Schrenk.
Weitere Informationen unter: https://www.psw-consulting.de/blog/2023/01/09/iso-27002-27001-update-was-ist-neu/