Beitrag teilen
HOME
/
blog
/
ISO 27001:2022 – Das ist der neue ISMS-Standard 2023

ISO 27001:2022 – Das ist der neue ISMS-Standard 2023

Niklas Hanitsch

Volljurist und Compliance-Experte

March 7, 2024

7 min

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Key Takeaways

ISO/IEC 27001 ist die führende Norm für ISMS und wurde aktualisiert, um aktuellen Bedrohungen im Bereich der Informationssicherheit gerecht zu werden.

Während der Standard an sich nur minimale Änderungen aufweist, bringt die ISO 27001:2022 doch einige wichtige Aktualisierungen mit sich.

Bestehende Zertifizierungen müssen bis spätestens 31. Oktober 2025 auf die neue ISO 27001:2022 umgestellt sein.

Eine Zertifizierung nach ISO 27001:2022 bringt Vorteile wie verbesserte Informationssicherheit, gesteigertes Kundenvertrauen und effizientere Geschäftsprozesse.

ISO/IEC 27001 ist die weltweit führende Norm für Informationssicherheitsmanagementsysteme (ISMS). Die Norm definiert die erforderlichen Anforderungen an ein ISMS.  

Der ISO/IEC 27001 Standard bietet Unternehmen aller Größen und Branchen eine Anleitung zur Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierlichen Verbesserung eines Informationssicherheitsmanagementsystems.  

Die Konformität mit ISO/IEC 27001 bedeutet, dass eine Organisation ein Risikomanagementsystem für die Sicherheit von Daten eingerichtet hat und alle in der Norm festgelegten bewährten Verfahren und Grundsätze beachtet.

Mit der ständig wachsenden Bedrohung durch Cyber-Kriminalität und immer raffinierteren Angriffen sind Unternehmen gezwungen, ihre Informationssicherheit auf die höchste Priorität zu setzen. Die ISO/IEC 27001 bietet in diesem Kontext einen unverzichtbaren Leitfaden, der ihnen dabei hilft, diesen Herausforderungen zu begegnen.

Die ISO/IEC 27001 Norm fördert einen ganzheitlichen Ansatz zur Informationssicherheit, der nicht nur technische Aspekte, sondern auch Menschen und Richtlinien berücksichtigt. Durch die Implementierung eines Managementsystems gemäß ISO/IEC 27001 können Unternehmen Risiken proaktiv identifizieren, Schwachstellen erkennen und beseitigen.

Darüber hinaus bietet die Konformität mit ISO/IEC 27001 eine Möglichkeit, Wettbewerbsvorteile zu erlangen, da Unternehmen nachweisen können, dass sie angemessene Sicherheitsmaßnahmen implementiert haben. Dies kann bei der Gewinnung neuer Kunden insbesondere in sensiblen Branchen wie dem Finanz- und Gesundheitswesen von entscheidender Bedeutung sein.

Die ISO/IEC 27001 wurde erstmals im Jahr 2005 veröffentlicht. Seitdem wurden mehrere Anpassungen vorgenommen, um die Norm aktuell zu halten und auf die sich ständig verändernde Bedrohungslandschaft und technologische Entwicklungen einzugehen.

ISO 27001:2022: Warum wurde die ISO 27001 Norm aktualisiert?  

Um den aktuellen Bedrohungen im Bereich der Informationssicherheit gerecht zu werden, war eine Aktualisierung der ISO 27001 Norm notwendig. Angesichts der ständig fortschreitenden Technologieentwicklung und der zunehmenden Cyberangriffe war es wichtig, die Norm an die sich verändernde Bedrohungslandschaft anzupassen.

Die Aktualisierung umfasst einen flexibleren Ansatz, um die Widerstandsfähigkeit von Unternehmen gegenüber aktuellen Informationssicherheitsrisiken zu stärken. Die überarbeitete Norm behandelt neben dem Stand der Technik auch die Bereiche Cybersicherheit und Datenschutz.

Die ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht und entspricht dem aktuellen Stand der Technik. Die Aktualisierung ermöglicht es Unternehmen, die Bedrohungen für die Informationssicherheit, insbesondere in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit, zu identifizieren und zu kontrollieren.

Sie trägt dazu bei, die Resilienz von Unternehmen gegenüber neuen Bedrohungen zu stärken und den aktuellen Anforderungen gerecht zu werden.

ISO 27001:2022 im Überblick: Was ist neu?

Die ISO/IEC 27001:2022 läuft von nun an unter dem Titel „Information Security, Cybersecurity and Privacy Protection“, was auf Deutsch als „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheitsmaßnahmen“ übersetzt werden kann.

Die ISO 27001:2022 bringt einige wichtige Änderungen und Aktualisierungen mit sich, während der Standard an sich nur geringfügige Änderungen erfahren hat.

Einige der grundlegenden Änderungen und Neuerungen in der ISO/IEC 27001 Norm sind:

Übergang von High Level Structure (HLS) zu Harmonized Structure (HS): Die Norm wechselt von der High Level Structure zur Harmonized Structure, was bedeutet, dass sie den Grundstein für eine weitere Harmonisierung von ISO-Managementsystemnormen legt.

Überarbeitung der Maßnahmen: Die Anzahl der Maßnahmen wurde von 114 auf 93 reduziert und in vier Hauptkategorien unterteilt. Hierbei handelt es sich um organisatorische Maßnahmen, personenbezogene Maßnahmen, physische Maßnahmen und technische Maßnahmen. Diese Änderungen ermöglichen eine flexiblere Auswahl und Gestaltung von Sicherheitsmaßnahmen.

Stärkung der Themen Cloud-Nutzung und Business Continuity Management (BCM): Die neuen Maßnahmen in der ISO/IEC 27001:2022 schärfen die Anforderungen im Zusammenhang mit der Nutzung von Cloud-Services und betonen die Bedeutung des Business Continuity Managements.

Einbeziehung von „Privacy Protection“: Die Norm berücksichtigt nun verstärkt den Datenschutz, was zusätzliche Maßnahmen in Bezug auf den Schutz personenbezogener Daten erfordert.

Transparenz und Risikobewertung: Alle Maßnahmen sind nun mit Attributen verknüpft, was die Transparenz erhöht und Fehlinterpretationen bei der Anwendung reduziert. Die Identifikation, Bewertung und Steuerung von Risiken für informationsverarbeitende Prozesse stehen stärker im Vordergrund.

Prozessorientierung: Die Bedeutung der Prozessorientierung wurde in verschiedenen Abschnitten der Norm hervorgehoben. Unternehmen müssen Informationssicherheitsaspekte in allen relevanten Geschäftsprozessen verankern und Prozesskriterien zur Prozesssteuerung festlegen.

Kommunikation: Die Norm regelt die interne und externe Kommunikation im Rahmen des ISMS genauer und legt fest, was, wann, mit wem und wie kommuniziert werden sollte.

Interne Audits und Managementbewertung: Die Abschnitte 9.2 (Internes Audit) und 9.3 (Managementbewertung) wurden an die Harmonized Structure angepasst und neu strukturiert.

Kontinuierliche Verbesserung: Die Bedeutung des kontinuierlichen Verbesserungsprozesses (KVP) wird betont, und der Aspekt der prospektiven fortlaufenden Verbesserung wird hervorgehoben.

Die ISO 27001:2022 bringt somit Änderungen mit sich, die dazu beitragen, die Norm an die aktuellen Bedrohungen und Anforderungen im Bereich der Informationssicherheit anzupassen und Unternehmen dabei zu unterstützen, ihre Informationssicherheit effektiver zu gewährleisten.  

ISO 27001:2022: Bis wann muss die Umstellung erfolgen?

Die Übergangsfrist für die Umstellung auf die ISO 27001:2022 beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats der neuen Norm, also ab dem 31. Oktober 2022.  

Dies bedeutet, dass alle bestehenden Zertifikate nach ISO/IEC 27001:2013 oder DIN EN ISO/IEC 27001:2017 bis spätestens zum 31. Oktober 2025 auf die neue ISO 27001:2022 umgestellt sein müssen. Dies betrifft Unternehmen, die bereits nach den alten Versionen der Norm zertifiziert sind.

ISO 27001:2022: Was bedeutet die Aktualisierung für Unternehmen?

Die Veröffentlichung der neuen ISO 27001:2022 Version bedeutet für Unternehmen notwendige Anpassungen an das wachsende Verständnis und die weitreichende Bedeutung von Informationssicherheit.

Es gibt grundlegende Änderungen in der Struktur der Sicherheitsmaßnahmen, wobei bekannte Themenblöcke getrennt und bestehende Maßnahmen teilweise zusammengefasst werden. Ein integriertes Managementsystem für Informationssicherheit und Datenschutz wird empfohlen.  

Für Unternehmen, die sich noch nicht zertifiziert haben, besteht die Option, sich nach wie vor nach den alten Versionen zertifizieren zu lassen. Es wird jedoch empfohlen, direkt die neue Version (ISO/IEC 27001:2022) umzusetzen, sofern das Audit nach der Zertifizierungsbereitschaft der Akkreditierungsstelle geplant ist. Dies vermeidet die Notwendigkeit einer erneuten Zertifizierung nach Ablauf der Übergangsfrist.

Unternehmen, die bereits zertifiziert sind, sollten die Chance nutzen, die Dokumentation für die neuen Maßnahmen (Controls) so früh wie möglich anzupassen und zu aktualisieren, um bei ihrem nächsten Audit schon nach der ISO 27001:2022 zertifiziert werden zu können.

Für Unternehmen ist es zudem ratsam, sich frühzeitig mit den externen Akkreditierungsstellen, die Audits nach ISO 27001 durchführen, in Verbindung zu setzen, um sicherzustellen, dass die Umstellung gemäß den neuen Anforderungen erfolgt und die Übergangsfrist eingehalten wird.  Die Umstellung kann jedoch erst erfolgen, wenn die Akkreditierungsstellen selbst nach der neuen Norm akkreditiert sind.  

ISO 27001:2022: Diese Schritte führen Unternehmen zur Zertifizierung

Der Weg zur ISO 27001:2022 Zertifizierung unterscheidet sich für Unternehmen kaum von der Vorbereitung für die bisherige ISO/IEC 2022 Zertifizierung. Wir haben in Kürze die wichtigsten Schritte der ISO 27001 Zertifizierung zusammengefasst:

1. Vorbereitung: Der erste Schritt zur ISO 27001:2022-Zertifizierung beginnt mit einer gründlichen Vorbereitung. Dies umfasst die Planung und Koordination aller erforderlichen Maßnahmen, um das Informationssicherheitsmanagementsystem (ISMS) erfolgreich aufzubauen.

2. Verständnis der Anforderungen: Ein tiefes Verständnis der Anforderungen der ISO 27001:2022 ist notwendig, um deren Bedeutung für das Unternehmen zu erkennen.

3. Festlegung des Geltungsbereichs: Die Festlegung des Geltungsbereichs des ISMS, also den Umfang, auf den sich die Zertifizierung bezieht, beinhaltet die Identifizierung der Bereiche und Prozesse in Ihrem Unternehmen, die von der ISO 27001 Zertifizierung abgedeckt werden sollen.

4. Risikobewertung und Risikobehandlung: Die ISO 27001:2022 legt Wert auf die Identifikation, Bewertung und Behandlung von Risiken, weshalb Unternehmen eine umfassende Risikobewertung durchführen und entsprechende Maßnahmen zur Risikominimierung entwickeln und implementieren sollten.

5. Implementierung und Betrieb: Nach der Risikobewertung und -behandlung erfolgt die eigentliche Implementierung des ISMS. Dies beinhaltet die Einführung von Sicherheitskontrollen und die Integration von Sicherheitsmaßnahmen in den betrieblichen Ablauf.

6. Überwachung und Messung: Die regelmäßige Überwachung und Messung der Leistung des ISMS ist entscheidend, um sicherzustellen, dass das Unternehmen die definierten Ziele und Anforderungen erfüllt.

7. Kontinuierliche Verbesserung: Unternehmen sollten auf Basis der Überwachungsergebnisse und Messungen kontinuierlich ihre Sicherheitsmaßnahmen und Prozesse überprüfen und optimieren, um sich den sich wandelnden Bedrohungen und Herausforderungen anzupassen.

Dieser zyklische Ansatz bildet den Weg zur ISO 27001:2022 Zertifizierung und dient dazu, ein effektives ISMS aufzubauen und aufrechtzuerhalten.  

ISO 27001:2022: Welche Vorteile ergeben sich für Unternehmen durch eine ISO/IEC 27001:2022 Zertifizierung?

Die Zertifizierung nach ISO 27001:2022 bringt eine Vielzahl von Vorteilen mit sich, die Unternehmen dabei unterstützen, ihre Informationssicherheit auf höchstem Niveau zu gewährleisten.

Verbesserte Informationssicherheit: Die Umsetzung des in der Norm ISO/IEC 27001 festgelegten Rahmens hilft Unternehmen, ihre Anfälligkeit gegenüber den wachsenden Bedrohungen durch Cyberangriffe zu verringern. Durch die Identifizierung, Bewertung und Behandlung von Risiken können Sicherheitslücken proaktiv geschlossen werden.  

Dies trägt dazu bei, auf sich entwickelnde Sicherheitsrisiken zeitnah zu reagieren und sicherzustellen, dass Vermögenswerte wie Finanzberichte, geistiges Eigentum, Mitarbeiterdaten und von Dritten anvertraute Informationen unbeschädigt, vertraulich und bei Bedarf verfügbar bleiben.

Vertrauen der Kunden und Partner: Die ISO 27001:2022 Zertifizierung ist ein klares Zeichen für Kunden und Geschäftspartner, dass Ihre Organisation die Sicherheit und Vertraulichkeit von Informationen ernst nimmt. Dieses Vertrauen kann dazu beitragen, bestehende Kundenbeziehungen zu festigen und neue Geschäftsmöglichkeiten zu erschließen. Die Zertifizierung signalisiert, dass Sie die besten Praktiken im Bereich der Informationssicherheit implementieren und die Sicherheit Ihrer Kunden- und Geschäftspartnerdaten gewährleisten.

Effizienzsteigerung der Geschäftsprozesse: Die Implementierung eines ISMS nach ISO 27001:2022 kann zu einer Effizienzsteigerung der Geschäftsprozesse führen. Durch die Identifizierung von Schwachstellen und die Einführung von Sicherheitskontrollen können Unternehmen ineffiziente Abläufe korrigieren und sicherstellen, dass Ressourcen optimal genutzt werden.  

Dies kann nicht nur Kosten reduzieren, sondern auch die betriebliche Leistung steigern.

Zusätzlich bietet die ISO 27001:2022 die Möglichkeit, Informationen in verschiedenen Formen zu sichern, einschließlich papierbasierter, cloudbasierter und digitaler Daten. Ein zentral verwalteter Rahmen sichert alle Informationen an einem Ort und bereitet Menschen, Prozesse und Technologien in Ihrem Unternehmen auf technologiebasierte Risiken und andere Bedrohungen vor.  

Dies wiederum trägt zur langfristigen Widerstandsfähigkeit gegenüber sich ständig verändernden Bedrohungen bei und ermöglicht es Unternehmen, Geld zu sparen, indem sie die Effizienz steigern und die Ausgaben für ineffektive Verteidigungstechnologien reduzieren.

Insgesamt bietet die ISO 27001:2022 Zertifizierung einen klaren Weg zur Verbesserung der Informationssicherheit, zur Steigerung des Vertrauens von Kunden und Partnern sowie zur Optimierung der betrieblichen Abläufe. Dies macht sie zu einer wertvollen Investition für Organisationen, die die Sicherheit und Integrität ihrer Daten schützen möchten.

Fazit: Die Bedeutung der ISO 27001:2022 Aktualisierung für Unternehmen

Die Aktualisierung der ISO/IEC 27001 Norm bietet Unternehmen einen klaren Leitfaden, um Informationssicherheit auf höchstem Niveau zu gewährleisten und sich den ständig wachsenden Bedrohungen durch Cyberkriminalität zu stellen.

Die jüngste Aktualisierung auf die ISO 27001:2022 war notwendig, um den aktuellen Bedrohungen im Bereich der Informationssicherheit gerecht zu werden. Dies führte zu einer flexibleren und umfassenderen Herangehensweise, die den Schutz von Informationen in den Fokus stellt. Die ISO/IEC 27001:2022 Norm fördert einen ganzheitlichen Ansatz zur Informationssicherheit, der nicht nur technische Aspekte, sondern auch Menschen und Richtlinien berücksichtigt.

Die ISO 27001:2022 bietet eine Vielzahl von Vorteilen für Unternehmen. Dazu gehören verbesserte Informationssicherheit, ein gestärktes Vertrauen von Kunden und Partnern und die Möglichkeit, Geschäftsprozesse effizienter zu gestalten.  

Für Unternehmen, die die Gelegenheit nutzen möchten, sich frühzeitig auf die neuen Anforderungen einzustellen und die Vorteile zu nutzen, die die ISO 27001:2022 bietet, kann das Digital Compliance Office (DCO) von SECJUR eine Unterstützung bei dem Aufbau eines ISMS darstellen.  

Die Nutzung von Automatisierungsplattformen wie dem DCO von SECJUR ermöglicht Unternehmen, ein ISO 27001 zertifiziertes ISMS aufzubauen und dabei erhebliche Kosteneinsparungen zu erzielen sowie die Ressourcen des Unternehmens effizienter zu nutzen.

Niklas Hanitsch

Als Jurist mit langjähriger Erfahrung als Anwalt für Datenschutz und IT-Recht kennt Niklas die Antwort auf so gut wie jede Frage im Bereich der digitalen Compliance. Er war in der Vergangenheit unter anderem für Taylor Wessing und Amazon tätig. Als Gründer und Geschäftsführer von SECJUR, lässt Niklas sein Wissen vor allem in die Produktentwicklung unserer Compliance-Automatisierungsplattform einfließen.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 7, 2023
5 min
Informationssicherheitsbeauftragter – das macht der ISB!

Ein Informationssicherheitsbeauftragter (ISB) ist zuständig für die allgemeine Informationssicherheit in einem Unternehmen oder einer Institution. Dabei ist zu beachten, dass es beim Informationssicherheitsbeauftragten keine fest geschriebene gesetzliche Definition gibt, wie es etwa bei einem Datenschutzbeauftragten der Fall ist. Vielmehr werden je nach Branche verschiedene Definitionen genutzt, beispielsweise im Finanzdienstleistungssektor. Woher weiß ein Unternehmen nun, ob es einen Informationssicherheitsbeauftragten braucht? Wir haben es in diesem Überblick zusammengefasst.

Lesen
November 6, 2023
7 min
NIS2 Cybersecurity – was bedeutet die neue EU-Richtlinie für die Cybersicherheit in Europa?

Das Europäische Parlament hat einen bedeutenden Schritt in Richtung umfassenderer und effektiverer Cybersicherheit unternommen. Am 10. November 2022 billigte es den Entwurf der NIS2 Richtlinie, die seit Anfang 2023 in der EU in Kraft ist. Angesichts der anhaltenden Bedrohung durch Cyberangriffe erkannte die Europäische Union die Notwendigkeit, Maßnahmen zu ergreifen. Die NIS2 Richtlinie, die unter anderem die Definition kritischer Dienstanbieter erweitert und strengere Sicherheitsstandards einführt, zielt darauf ab, die Cybersicherheit in Europa zu stärken.

Lesen
July 7, 2023
7 min
NIS 2 Definition: Was ist NIS 2?

Die NIS2-Richtlinie ist eine bedeutende EU-Regulierung im Bereich der Cybersicherheit, die derzeit viel Aufmerksamkeit erhält. In Deutschland wird diese Richtlinie durch das NIS2-Umsetzungsgesetz umgesetzt, für das ein aktueller Entwurf vorliegt. Dies hat direkte Auswirkungen auf Unternehmen, da sie bald aktiv werden müssen, um den neuen Anforderungen der Richtlinie gerecht zu werden. Es besteht also Handlungsbedarf. Doch was bedeutet die Richtlinie konkret für die Unternehmen, die von ihr betroffen sind? Die SECJUR-Experten klären auf.

Lesen
TO TOP