Gegenüberstellung ISO/IEC 27001:2022 und ISO/IEC 27001:2013

Die ISO/IEC 27001:2013 hatte feste thematische Blöcke, diese Blöcke hat die ISO/IEC 27001:2022 nicht mehr. Als Vergleich finden Sie in der folgenden Tabelle einmal die thematischen Blöcke gegenübergestellt.

ISO/IEC 27001:2013ISO/IEC 27001:2022
A.5 Information securitv policiesA5 Organizational controls
A.6 Organization of information securityA6 People controls
A.7 Human resource securityA7 Physical controls
A.8 Asset managementA8 Technological controls
A.9 Access control 
A.10 Cryptography 
A.11 Physical and environmental security 
A.12 Operations security 
A.13 Communication security 
A.14 System acquisition, development and maintenance 
A.15 Supplier relationships 
A.16 Information security incident management 
A 17 BCM 
A.18 Compliance 


Man fragt sich nun, wie man mit der ISO/IEC 27001:2022 nun umgeht. Das ist aus unserer Sicht recht simpel. Man baut sich eine ähnliche Zusammenstellung der Norm Punkte wie in der ISO/IEC 27001:2013. Die folgende Tabelle enthält die Themenbereiche und die zugehörigen Normpunkte. 



Prozesse/ Themen Kontrollen
GovernanceA 5.1, A 5.2, A 5.3, A 5.4, A 5.5, A 5.6, A 5.8
Personal ManagementA 6.1, A 6.2, A 6.3, A 6.4,6.5, A 6.6 
Information protectionA 5.12, A 5.13, A 5.14, A 5.33
Asset ManagementA 5.9, A 5.10, A 5.11, A 7.10, A 7.14, A 8.1
Threat intelligence, Management of technical vulnerabilitiesA 5.7, A 5.33, A 8.7, A 8.8, A 8.12, A 8.15, A 8.34
IT Service Management/ Change-ManagementA 5.37, A 8.9, A 8.19, A 8.31, A 8.32, A 8.33
Information Backup A 8.13
Identitäts- und ZugangsmanagementA 5.3, A 5.16, A.5.17, A 5.18, A 8.2, A 8.3, A 8.4, A 8.5, A 8.18
KryptografieA 8.24
Physische und umgebungsbezogene Sicherheit A 5.15, A 7.1, A 7.2, A 7.3, A 7.4, A 7.5, A 7.6, A 7.7, A 7.8, A 7.9, A 7.11, A 7.12, A 7.13
System and NetworksecurityA 6.7, A 8.6, A 8.20, A 8.21, A 8.22, A 8.23, A 8.26
SoftwareengeneeringA 8.4, A 8.11, A 8.25, A 8.26, A 8.27, A 8.28, A 8.29, A 8.30, A 8.31, A 8.33
SuppliermanagementA 5.19, A 5.20, A 5.21, A 5.22, A 6.6
IS-Ereignisse und VorfälleA 5.24, A 5.25, A 5.26, A 5.27, A 5.28, A6.8, A 8.16, A 8.17
BCMA 5.29, A 5.30, A 8.14
ComplianceA 5.3, A 5.32, A 5.34, A 5.35, A 5.36, A 8.10, A 8.11
Cloud ServicesA.5.23


Durch diese Gliederung lassen sich auch die Themen besser abstecken und mit der ISO/IEC 27001:2013 vergleichen. Es fällt auf, dass einige Normpunkte mehr als einmal vorkommen. Dies hat den Grund, dass die Normpunkte in den jeweiligen Themen vorkommen oder sinnvoll sind. Mit weiteren Erfahrungen der ISO/IEC kann es durchaus sein, dass sich diese Zuordnung noch verschiebt. Die weitere Tabelle zeigt eine Gegenüberstellung der selbst gesteckten Themen bzw. Bereiche der ISO/IEC 27001:2022 und der ISO/IEC 27001:2013. 

ISO/IEC 27001:2022 ISO/IEC 27001:2013
GovernanceA.5 Information securitv policiesA.6 Organization of information security
Personal ManagementA.7 Human resource security
Information protectionA.8 Asset management
Asset ManagementA.8 Asset management
Threat intelligence, Management of technical vulnerabilitiesA.12 Operations securityA.13 Communication security
IT Service ManagementChange-ManagementA.12 Operations security
Information Backup A.12 Operations security
Identitäts- und ZugangsmanagementA.9 Access control
KryptografieA.10 Cryptography
Physische und umgebungsbezogene Sicherheit A.11 Physical and environmental security
System and NetworksecurityA.6 Organization of information securityA.13 Communication security
SoftwareengeneeringA.14 System acquisition, development and maintenance
SuppliermanagementA.15 Supplier relationships
IS-Ereignisse und VorfälleA.16 Information security incident management
BCMA 17 BCM
ComplianceA.18 Compliance
Cloud ServicesA.15 Supplier relationships
A.9 Access control
A.10 Cryptography
A.12 Operations security
A.14 System acquisition, development and maintenance
A 17 BCM

Diese Gliederung kann auch als sehr gute Planung für das interne und externe Audit verwendet werden.


Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.

Unsere Dienstleistungen:


Informationssicherheit: →ISO/IEC 27001, →§8a BSI-G, →TISAX


Qualitätsmanagement: →ISO 9001


Compliance.Management: →ISO 37301


Datenschutz: →DSGVO, ISO 27701


Business Continuity Management: →ISO 22301


Unser Partner  ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.

Diese Vorlagen sind geeignet für die Zertifizierung.