News & Media

KUNDENINFORMATION ZUR UMSTELLUNG AUF DIE ISO/IEC 27001:2022

Dienstag, 6. Juni 2023

Am 25. Oktober 2022 ist eine neue Version der ISO/IEC 27001 veröffentlicht worden.Diese ist insbesondere im normativen Anhang A grundlegend überarbeitet worden und referenziert nun die ISO/IEC 27002:2022.

Aus den bisherigen 114 Maßnahmen aus den 14 Themenkomplexen (A.5 – A.18) wurden jetzt 93 Maßnahmen strukturiert in nun vier Bereiche. Dabei wurden die bisherigen Maßnahmen neu sortiert, zum Teil überarbeitet, zusammengefasst und um elf neue Maßnahmen ergänzt.

Die neuen Bereiche sind:

• Organisatorische Maßnahmen (Kapitel 5 mit 37 controls);
• Personenbezogene Maßnahmen (Kapitel 6 mit 8 controls);
• Physische Maßnahmen (Kapitel 7 mit 14 controls);
• Technologische Maßnahmen (Kapitel 8 mit 34 controls); 

Die Umstellung Ihres ISMS

Beim Übergang auf die neue Version der ISO/IEC 27001 bleibt Ihnen noch etwas Zeit. Die aktuellen Zertifikate auf Basis der alten Norm verlieren am 31.10.2025 ihre Gültigkeit.

Dennoch sind sie gut beraten, sich frühzeitig mit den veränderten ISMS-Anforderungen auseinanderzusetzen. Die Umstellung Ihres ISMS muss geplant, gesteuert sowie die benötigten Ressourcen zur Verfügung gestellt werden.

Sie sollten sich zuerst mit den Änderungen in der ISO/IEC 27001:2022 und Aktualisierungen in der ISO/IEC 27002:2022 bekannt und vertraut machen. Die Normen können über die üblichen Kanäle erworben werden. Außerdem müssen Sie sicherstellen, dass das relevante Personal in Ihrer Organisation geschult ist und die Änderungen versteht. Vergleichen Sie Ihre aktuell festgelegten erforderlichen Maßnahmen aus dem Annex A für die Behandlung von Informationssicherheitsrisiken mit dem überarbeiteten Satz von Maßnahmen. Hierfür kann zum Beispiel die Zuordnung im Annex B der ISO/IEC 27002:2022 genutzt werden. Implementieren Sie die erforderlichen neuen/überarbeiteten Maßnahmen und aktualisieren Sie das Statement of Applicability.

Anschließend empfehlen wir eine sogenannte Gap-Analyse. Mit dieser Methode, identifizieren Sie das verbliebende Delta zwischen Ihrem ISMS und den Anforderungen der neuen ISO/IEC 27001. 

Die Umstellung bei der CERTivation

Für die Umstellung auf die „neue" Norm sind Übergangsfristen festgelegt worden (siehe International Accreditation Forum, IAF MD 26:2022 und das Issue 2, IAF MD 26:2023). Um diese umzusetzen gelten bei der Certivation die folgenden Daten.

• 01.05.2023    Frühester Zeitpunkt, um nach der ISO/IEC 27001:2022 zertifiziert zu werden. Voraussetzung hierfür ist die abgeschlossene Änderung der Akkreditierung durch die DAkkS
• 30.04.2024    Erst- und Re-Zertifizierungen nach DIN EN ISO/IEC 27001:2017 sind nur noch bis einschließlich April 2024 möglich.
• 31.10.2025    
  Zertifikate nach der DIN EN ISO/IEC 27001:2017 haben maximal eine Gültigkeit bis zu diesem Datum.

Alle bestehenden Zertifikate müssen bis zu diesem Datum auf die „neue" Norm umgestellt sein, um ihre Gültigkeit zu behalten.

Die Certivation plant in Absprache mit seinen nach DIN EN ISO/IEC 27001:2017 zertifizierten Kunden die Umstellung auf die ISO/IEC 27001:2022.

Dies ist sowohl im Zuge eines Überwachungs- oder Re-Zertifizierungsaudits als auch durch ein außerplanmäßiges Audit möglich. Der hierbei entstehende Mehraufwand beträgt bei einer Re-Zertifizierung und bei einem Überwachungsaudit in der Regel 0,5 Manntage, bei einem außerplanmäßigen Audit in der Regel 1 Manntag.

Bei Fragen hierzu, sprechen Sie uns gerne an.