Gegenüberstellung ISO/IEC 27001:2022 und ISO/IEC 27001:2013

Die ISO/IEC 27001:2013 hatte feste thematische Blöcke, diese Blöcke hat die ISO/IEC 27001:2022 nicht mehr. Als Vergleich finden Sie in der folgenden Tabelle einmal die thematischen Blöcke gegenübergestellt.

ISO/IEC 27001:2013	ISO/IEC 27001:2022
A.5 Information securitv policies	A5 Organizational controls
A.6 Organization of information security	A6 People controls
A.7 Human resource security	A7 Physical controls
A.8 Asset management	A8 Technological controls
A.9 Access control
A.10 Cryptography
A.11 Physical and environmental security
A.12 Operations security
A.13 Communication security
A.14 System acquisition, development and maintenance
A.15 Supplier relationships
A.16 Information security incident management
A 17 BCM
A.18 Compliance

Man fragt sich nun, wie man mit der ISO/IEC 27001:2022 nun umgeht. Das ist aus unserer Sicht recht simpel. Man baut sich eine ähnliche Zusammenstellung der Norm Punkte wie in der ISO/IEC 27001:2013. Die folgende Tabelle enthält die Themenbereiche und die zugehörigen Normpunkte. 

Prozesse/ Themen	Kontrollen
Governance	A 5.1, A 5.2, A 5.3, A 5.4, A 5.5, A 5.6, A 5.8
Personal Management	A 6.1, A 6.2, A 6.3, A 6.4,6.5, A 6.6
Information protection	A 5.12, A 5.13, A 5.14, A 5.33
Asset Management	A 5.9, A 5.10, A 5.11, A 7.10, A 7.14, A 8.1
Threat intelligence, Management of technical vulnerabilities	A 5.7, A 5.33, A 8.7, A 8.8, A 8.12, A 8.15, A 8.34
IT Service Management/ Change-Management	A 5.37, A 8.9, A 8.19, A 8.31, A 8.32, A 8.33
Information Backup	A 8.13
Identitäts- und Zugangsmanagement	A 5.3, A 5.16, A.5.17, A 5.18, A 8.2, A 8.3, A 8.4, A 8.5, A 8.18
Kryptografie	A 8.24
Physische und umgebungsbezogene Sicherheit	A 5.15, A 7.1, A 7.2, A 7.3, A 7.4, A 7.5, A 7.6, A 7.7, A 7.8, A 7.9, A 7.11, A 7.12, A 7.13
System and Networksecurity	A 6.7, A 8.6, A 8.20, A 8.21, A 8.22, A 8.23, A 8.26
Softwareengeneering	A 8.4, A 8.11, A 8.25, A 8.26, A 8.27, A 8.28, A 8.29, A 8.30, A 8.31, A 8.33
Suppliermanagement	A 5.19, A 5.20, A 5.21, A 5.22, A 6.6
IS-Ereignisse und Vorfälle	A 5.24, A 5.25, A 5.26, A 5.27, A 5.28, A6.8, A 8.16, A 8.17
BCM	A 5.29, A 5.30, A 8.14
Compliance	A 5.3, A 5.32, A 5.34, A 5.35, A 5.36, A 8.10, A 8.11
Cloud Services	A.5.23

Durch diese Gliederung lassen sich auch die Themen besser abstecken und mit der ISO/IEC 27001:2013 vergleichen. Es fällt auf, dass einige Normpunkte mehr als einmal vorkommen. Dies hat den Grund, dass die Normpunkte in den jeweiligen Themen vorkommen oder sinnvoll sind. Mit weiteren Erfahrungen der ISO/IEC kann es durchaus sein, dass sich diese Zuordnung noch verschiebt. Die weitere Tabelle zeigt eine Gegenüberstellung der selbst gesteckten Themen bzw. Bereiche der ISO/IEC 27001:2022 und der ISO/IEC 27001:2013. 

ISO/IEC 27001:2022	ISO/IEC 27001:2013
Governance	A.5 Information securitv policiesA.6 Organization of information security
Personal Management	A.7 Human resource security
Information protection	A.8 Asset management
Asset Management	A.8 Asset management
Threat intelligence, Management of technical vulnerabilities	A.12 Operations securityA.13 Communication security
IT Service ManagementChange-Management	A.12 Operations security
Information Backup	A.12 Operations security
Identitäts- und Zugangsmanagement	A.9 Access control
Kryptografie	A.10 Cryptography
Physische und umgebungsbezogene Sicherheit	A.11 Physical and environmental security
System and Networksecurity	A.6 Organization of information securityA.13 Communication security
Softwareengeneering	A.14 System acquisition, development and maintenance
Suppliermanagement	A.15 Supplier relationships
IS-Ereignisse und Vorfälle	A.16 Information security incident management
BCM	A 17 BCM
Compliance	A.18 Compliance
Cloud Services	A.15 Supplier relationships A.9 Access control A.10 Cryptography A.12 Operations security A.14 System acquisition, development and maintenance A 17 BCM

Diese Gliederung kann auch als sehr gute Planung für das interne und externe Audit verwendet werden.