Gegenüberstellung ISO/IEC 27001:2022 und ISO/IEC 27001:2013
Die ISO/IEC 27001:2013 hatte feste thematische Blöcke, diese Blöcke hat die ISO/IEC 27001:2022 nicht mehr. Als Vergleich finden Sie in der folgenden Tabelle einmal die thematischen Blöcke gegenübergestellt.
ISO/IEC 27001:2013 | ISO/IEC 27001:2022 |
A.5 Information securitv policies | A5 Organizational controls |
A.6 Organization of information security | A6 People controls |
A.7 Human resource security | A7 Physical controls |
A.8 Asset management | A8 Technological controls |
A.9 Access control | |
A.10 Cryptography | |
A.11 Physical and environmental security | |
A.12 Operations security | |
A.13 Communication security | |
A.14 System acquisition, development and maintenance | |
A.15 Supplier relationships | |
A.16 Information security incident management | |
A 17 BCM | |
A.18 Compliance |
Man fragt sich nun, wie man mit der ISO/IEC 27001:2022 nun umgeht. Das ist aus unserer Sicht recht simpel. Man baut sich eine ähnliche Zusammenstellung der Norm Punkte wie in der ISO/IEC 27001:2013. Die folgende Tabelle enthält die Themenbereiche und die zugehörigen Normpunkte.
Prozesse/ Themen | Kontrollen |
Governance | A 5.1, A 5.2, A 5.3, A 5.4, A 5.5, A 5.6, A 5.8 |
Personal Management | A 6.1, A 6.2, A 6.3, A 6.4,6.5, A 6.6 |
Information protection | A 5.12, A 5.13, A 5.14, A 5.33 |
Asset Management | A 5.9, A 5.10, A 5.11, A 7.10, A 7.14, A 8.1 |
Threat intelligence, Management of technical vulnerabilities | A 5.7, A 5.33, A 8.7, A 8.8, A 8.12, A 8.15, A 8.34 |
IT Service Management/ Change-Management | A 5.37, A 8.9, A 8.19, A 8.31, A 8.32, A 8.33 |
Information Backup | A 8.13 |
Identitäts- und Zugangsmanagement | A 5.3, A 5.16, A.5.17, A 5.18, A 8.2, A 8.3, A 8.4, A 8.5, A 8.18 |
Kryptografie | A 8.24 |
Physische und umgebungsbezogene Sicherheit | A 5.15, A 7.1, A 7.2, A 7.3, A 7.4, A 7.5, A 7.6, A 7.7, A 7.8, A 7.9, A 7.11, A 7.12, A 7.13 |
System and Networksecurity | A 6.7, A 8.6, A 8.20, A 8.21, A 8.22, A 8.23, A 8.26 |
Softwareengeneering | A 8.4, A 8.11, A 8.25, A 8.26, A 8.27, A 8.28, A 8.29, A 8.30, A 8.31, A 8.33 |
Suppliermanagement | A 5.19, A 5.20, A 5.21, A 5.22, A 6.6 |
IS-Ereignisse und Vorfälle | A 5.24, A 5.25, A 5.26, A 5.27, A 5.28, A6.8, A 8.16, A 8.17 |
BCM | A 5.29, A 5.30, A 8.14 |
Compliance | A 5.3, A 5.32, A 5.34, A 5.35, A 5.36, A 8.10, A 8.11 |
Cloud Services | A.5.23 |
Durch diese Gliederung lassen sich auch die Themen besser abstecken und mit der ISO/IEC 27001:2013 vergleichen. Es fällt auf, dass einige Normpunkte mehr als einmal vorkommen. Dies hat den Grund, dass die Normpunkte in den jeweiligen Themen vorkommen oder sinnvoll sind. Mit weiteren Erfahrungen der ISO/IEC kann es durchaus sein, dass sich diese Zuordnung noch verschiebt. Die weitere Tabelle zeigt eine Gegenüberstellung der selbst gesteckten Themen bzw. Bereiche der ISO/IEC 27001:2022 und der ISO/IEC 27001:2013.
ISO/IEC 27001:2022 | ISO/IEC 27001:2013 |
Governance | A.5 Information securitv policiesA.6 Organization of information security |
Personal Management | A.7 Human resource security |
Information protection | A.8 Asset management |
Asset Management | A.8 Asset management |
Threat intelligence, Management of technical vulnerabilities | A.12 Operations securityA.13 Communication security |
IT Service ManagementChange-Management | A.12 Operations security |
Information Backup | A.12 Operations security |
Identitäts- und Zugangsmanagement | A.9 Access control |
Kryptografie | A.10 Cryptography |
Physische und umgebungsbezogene Sicherheit | A.11 Physical and environmental security |
System and Networksecurity | A.6 Organization of information securityA.13 Communication security |
Softwareengeneering | A.14 System acquisition, development and maintenance |
Suppliermanagement | A.15 Supplier relationships |
IS-Ereignisse und Vorfälle | A.16 Information security incident management |
BCM | A 17 BCM |
Compliance | A.18 Compliance |
Cloud Services | A.15 Supplier relationships A.9 Access control A.10 Cryptography A.12 Operations security A.14 System acquisition, development and maintenance A 17 BCM |
Diese Gliederung kann auch als sehr gute Planung für das interne und externe Audit verwendet werden.
Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.
Unsere Dienstleistungen:
Informationssicherheit: →ISO/IEC 27001, →§8a BSI-G, →TISAX
Qualitätsmanagement: →ISO 9001
Compliance.Management: →ISO 37301
Datenschutz: →DSGVO, ISO 27701
Business Continuity Management: →ISO 22301
Unser Partner ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.
Diese Vorlagen sind geeignet für die Zertifizierung.