Aktualisierung der ISO 27001-Norm auf die Version 2022 - was hat sich geändert?

Nach neun Jahren wurde die ISO 27001, die weltweit führende Norm für Informationssicherheit, aktualisiert. Die endgültige Aktualisierung der Norm erfolgte am 25.10.2022, obwohl die Liste der Kontrollen von ISO 27002 bereits früher aktualisiert worden war.

Dieses Update bringt nur moderate Änderungen, aber es ist wichtig, sie genau zu verstehen. Was hat sich also im Vergleich zwischen den Versionen 2013 und 2022 geändert, und wie sind diese Aktualisierungen am Cyberday sichtbar?‍

Zusammenfassung der Aktualisierung von ISO 27001 2022

Der Hauptteil der Norm, d. h. die Abschnitte 4 bis 10 in ISO 27001, hat bei der Überarbeitung keine wesentlichen Änderungen erfahren.

Die Sicherheitskontrollen der ISO 27002 (oder Anhang A, wenn Sie das bevorzugen) wurden ihrerseits moderat geändert:

• 11 völlig neue Kontrollen werden eingeführt
• Keine Kontrollen werden vollständig aus den Normen entfernt, aber viele Kontrollen werden zusammengelegt
• Durch die Zusammenlegung verringerte sich die Gesamtzahl der Kontrollen schließlich von 114 auf 93, obwohl die Kontrollen als Ganzes mehr Inhalt erhielten
• Die Steuerelemente sind in 4 Abschnitte unterteilt, anstelle der bisherigen 14

Neue Kontrollen in ISO 27001/27002:2022

Die 11 völlig neuen Kontrollen in ISO 27002 sind:

• 5.7 Informationen über Bedrohungen: Die Organisation muss über klare Verfahren verfügen, wie Informationen über Sicherheitsbedrohungen gesammelt und analysiert werden.
• 5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten: Die Organisation muss über oberste Grundsätze für die Nutzung von Cloud-Diensten und den Umgang mit den damit verbundenen Risiken verfügen, zusammen mit Kriterien z. B. für die Auswahl sicherer Anbieter, die Überwachung der Aktivitäten von Cloud-Diensteanbietern und die Verwendung von Vereinbarungen, um ausreichende Sicherheitsmaßnahmen von Partnern zu verlangen.
• 5.30 IKT-Bereitschaft für die Geschäftskontinuität: Die Kontinuitätsanforderungen für die wichtigsten IKT-Dienste müssen klar identifiziert und aus den anderen wichtigen Kontinuitätsplänen der Organisation abgeleitet werden.
• 7.4 Überwachung der physischen Sicherheit: Die Organisation muss eindeutig festlegen, welche Art von Überwachungssystemen in ihren Räumlichkeiten eingesetzt wird, und eine ausreichende Überwachung von Einrichtungen mit kritischen Systemen sicherstellen.
• 8.9 Konfigurationsmanagement: Es sollten Standardvorlagen für sichere Konfigurationen von Datensystemen, Netzwerken und anderen Geräten verwendet werden, und es gibt weitere Verfahren zur Überwachung der korrekten Konfigurationen.
• 8.10 Löschung von Informationen: Daten, die in Datensystemen, Geräten oder auf anderen Speichermedien gespeichert sind, sollten gelöscht werden, wenn sie nicht mehr benötigt werden.
• 8.11 Datenmaskierung: Die Notwendigkeit, bestimmte sensible Daten zu verbergen (z. B. durch Maskierung, Pseudonymisierung oder Anonymisierung), sollte ermittelt und bei Bedarf umgesetzt werden.
• 8.12 Verhinderung von Datenlecks: Datensysteme, Netzwerke und andere Geräte, die sensible Daten verarbeiten, speichern oder übertragen, müssen mit Maßnahmen zur Verhinderung von Datenlecks ausgestattet werden.
• 8.16 Überwachungsaktivitäten: Die Organisation muß klare Verfahren für die Überwachung von Netzen und Datensystemen auf anormales Verhalten festlegen und gegebenenfalls den Prozeß bis zum Management von Sicherheitsvorfällen weiterführen.
• 8.23 Web-Filterung: Die Organisation sollte festlegen, zu welchen Arten von Websites das Personal Zugang haben sollte und zu welchen nicht. Der Zugang zu nicht benötigten, externen Websites sollte verwaltet werden, um die Gefährdung z. B. durch Malware zu verringern.
• 8.28 Sichere Kodierung: Die Organisation muss klare Regeln für eine sichere Kodierung (z. B. Mindestsicherheitsgrundlagen) festgelegt haben, die gewährleisten, dass die Software ordnungsgemäß geschrieben und getestet wird und das Potenzial für technische Schwachstellen in den erstellten Diensten verringert wird.

Darüber hinaus wurden bei dieser Aktualisierung viele Kontrollen zusammengelegt. Das bedeutet, dass immer mehr Kontrollen einen beträchtlichen Umfang annehmen und eine sorgfältig geplante und aufeinander abgestimmte Ausführung erfordern.

Zu den kleineren Änderungen bei den Kontrollen gehörten außerdem folgende:

• 57 Kontrollen wurden zusammengelegt
• 23 Kontrollen wurden umbenannt
• 1 Kontrolle wurde geteilt

Wir von Cyberday sind froh über diese Entwicklungen. Wir haben schon früher gesehen, dass viele Kontrollen immer größer werden und z.B. 50% ihres Inhalts mit ähnlichen Kontrollen auf anderen Standards teilen. Aus diesem Grund haben wir die generische "Aufgabenebene" zwischen z.B. ISO-Kontrollen und Aufgaben in Ihrem eigenen ISMS geschaffen. Die Aufgaben beschreiben detailliert, wie Sie die einzelnen Kontrollen umsetzen.

Neue Kontrollabschnitte in ISO 27001/27002:2022

Die Steuerelemente in der neuen Version sind in 4 Abschnitte unterteilt. Die Steuerelemente sind kategorisiert als...:

• Personenkontrollen, wenn sie einzelne Personen betreffen‍
• Physische Kontrollen, wenn sie physische Objekte betreffen‍
• Technologische Kontrollen, wenn sie die Technologie betreffen
• und ansonsten als organisatorische Kontrollen

Diese Aufteilung der Sicherheitskontrollen hebt die verschiedenen Ansätze hervor, die Unternehmen in der Regel zur Bekämpfung von Cyber-Bedrohungen aller Art einsetzen können - organisatorische, personelle, technische und physische Maßnahmen können alle relevant sein, und in der Regel führt eine Kombination zu den besten Ergebnissen. Auf diese Weise stellt der Standard sicher, dass Organisationen nicht nur die technischen Möglichkeiten zum Schutz von Daten betrachten.

Zusätzlich zu diesen 4 Hauptabschnitten bietet die neue Standardversion eine Vielzahl zusätzlicher Kategorisierungen für die Kontrollen. Diese Kategorisierungen können auch verwendet werden, um Organisationen bei der Umsetzung des ISMS zu helfen.

Die Kontrollen werden auch nach Kategorien eingeteilt:

• ‍Kontrollarten - von präventiven, detektiven bis hin zu korrektiven Kontrollen
• Eigenschaften der Informationssicherheit - ob sie hauptsächlich die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten schützen
• Cybersicherheitskonzepte - Identifizieren, Schützen, Erkennen, Reagieren oder Wiederherstellen (unter Verwendung einer ähnlichen Methode wie z. B. beim NIST CSF)
• Operative Fähigkeiten - unter Berücksichtigung der Perspektive des Praktikers und unter Einbeziehung von Werten wie Governance, Vermögensverwaltung, Personalsicherheit, physische Sicherheit, System- und Netzsicherheit sowie Bedrohungs- und Schwachstellenmanagement

Die letzte Kategorisierung ist relativ nah an den 14 Bereichen, die in der Revision 2013 enthalten waren. Wenn Sie sich mit den 4 Hauptbereichen nicht sofort zurechtfinden, können Sie hier nach zusätzlicher Unterstützung suchen.

Diese Kategorisierung schafft auch eine verbesserte Kompatibilität von ISO 27001 mit anderen gängigen Informationssicherheitsstandards wie NIST CSF, CIS 18 oder CSA CCM.

Einführung von ISO 27001/27002:2022 bei Cyberday

Wir haben gerade das neue ISO 27001:2022 Framework in Cyberday veröffentlicht. Sie können das neue Framework in der Framework-Bibliothek von Cyberday aktivieren.

Der Prozentsatz der Überschneidungen bei den Cyberday liegt bei über 90 %. Das bedeutet, dass über 90 % der Aufgaben, an denen Sie im Rahmen von 2013 gearbeitet haben, auch Ihre Konformität mit der Revision 2022 erhöhen. Um den Übergang zu schaffen, müssen Sie im Grunde nur die neuen 9 % der Aufgaben umsetzen. 👍

Das Rahmenwerk der ISO 27001:2022 ist ähnlich wie bei der Version 2013 in 3 Stufen unterteilt:

• ISO 27001:2022 Kern: 20 % Teilmenge der vollständigen ISO 27001. Ohne diese Cyber-Grundlagen ist es sehr schwer, Ihren Kunden zu versprechen, dass ihre Daten sicher sind.
• ISO 27001:2022 Erweitert: 50%ige Untermenge der vollständigen ISO 27001. Sie bietet Ihnen erweiterte Kontrollen zur Verbesserung der Sicherheit, erreicht aber nicht die Zertifizierungsstufe.
• ISO 27001:2022 Full: Vollständiges ISMS auf Zertifizierungsniveau. Vollständiger Satz von Sicherheitskontrollen zusammen mit den Anforderungen für ein ordnungsgemäßes Informationssicherheitsmanagement, z. B. in Bezug auf interne Audits und Aspekte des Risikomanagements.

Wir haben uns dafür entschieden, die 4 Hauptkategorien und die Kategorisierung der operativen Fähigkeiten in unserem Rahmenbericht / Anwendbarkeitserklärung zu verwenden.

Dieser Hauptbericht über die Einhaltung der Vorschriften enthält auch die obligatorischen Anforderungen der ISO 27001, so dass er als erweitertes SoA-Dokument dient, das zeigt, wie Sie die ISMS-Anforderungen erfüllen und wie Sie die 27002-Kontrollen umgesetzt haben.

Sie können all dies in Aktion erleben, wenn Sie unser neues ISO 27001:2022 Framework in Ihrem eigenen Konto ausprobieren. Wenn Sie noch keinen Account haben, melden Sie sich für eine kostenlose Testversion an.

Häufig gestellte Fragen

F: Wir haben bei Cyberday mit der Version 2013 gearbeitet. Werde ich von der Arbeit an der neuen Version profitieren?

Auf jeden Fall ja! Der prozentuale Anteil der inhaltlichen Überschneidungen bei Cyberday zwischen der 2013er und der 2022er Standardrevision liegt bei über 90 %. Das bedeutet, dass über 90 % der Aufgaben, an denen Sie im Rahmen von 2013 gearbeitet haben, auch Ihre Konformität mit der Revision 2022 erhöhen. Um den Übergang zu vollziehen, müssen Sie im Grunde nur die neuen 9 % der Aufgaben implementieren. 👍

F: Wir haben ISO 27001 bereits eingeführt. Wie schnell müssen wir reagieren?‍

Unternehmen, die nach der Revision 2013 zertifiziert sind, müssen bis zum 31.10.2025 auf die Revision 2022 umstellen. Das bedeutet, dass es eine beachtliche 36-monatige Übergangsfrist gibt.

F: Bleibt die alte Standardversion am Cyberday verfügbar?

Ja. Während der Übergangszeit werden sowohl die Version 2013 als auch die Version 2022 von ISO 27001 in unserer Rahmenbibliothek verfügbar sein.