Wesentliche Veränderungen bei der ISO/IEC 27001:2022

In diesem Beitrag wollen wir uns den wesentlichen Änderungen bei der ISO/IEC 27001:2022 widmen. Grundsätzlich hat sich inhaltlich nicht so sehr viel geändert. Die Struktur der ISO/IEC 27001 ist geblieben. Die HLS umfasst dieselben Kapitel 4-10 und es existiert der Annex A. 

Was sich geändert hat, ist die Struktur des Annex A. Durch die neue Struktur sind einige Anforderungen zusammengefasst und einige sind neu hinzugekommen bzw. wurden erweitert. 

Maßnahmenbereiche (Themen):

  • Es sind nur noch 4 Maßnahmenbereiche vorhanden, in der ISO/IEC 27001:2013 waren es 14.

Organizational Controls:        

  • 37 Maßnahmen zu Policies, Organisation, Prozessen usw.

People Controls:         

  • 8 Maßnahmen, die die Mitarbeiter betreffen.

Physical Controls:      

  • 14 Maßnahmen der physischen Sicherheit

Technological Controls:        

  • 34 Maßnahmen, die die Technologie betreffen.

Änderungen in der HLS 

Kapitel 4

  • Es ist anzugeben, wie die Anforderungen der interessierten Parteien durch das ISMS adressiert werden.
  • Für den Aufbau, die Umsetzung und die Weiterentwicklung werden die notwendigen Prozesse neu adressiert.

Kapitel 6 

  • Die Bemerkungen in 6.1.3.c wurden neu formuliert.
  • Ein Anforderungspunkt zu Monitoring (6.2 d) und als verfügbare Information (6.2.g) der Informationssicherheitsziele wurde ergänzt.
  • Ein neuer Abschnitt 6.3 wurde hinzugefügt.
  • Es geht darum, dass notwendige Änderungen am ISMS in geplanter Art und Weise durchzuführen sind. Hier ist ein Projektplan nachzuweisen.

Kapitel 8 

  • Es wurden in 8.1 folgende neue Anforderungen ergänzt.
  • Die Steuerung der Prozesse muss in Einklang mit diesen „ISMS-Kriterien“ erfolgen.
  • Es sollen nicht nur „Ausgegliederte Prozesse“ sondern auch ausgelagerte „Produkte und Services“ betrachtet werden.

Klausel 9 

  • Als Input zur Managementbewertung sind neu “Änderungen der Erfordernisse und Erwartungen interessierter Parteien“ aufgeführt. (9.3.2c)

Annex A

Maßnahme 5.7: 

  • Aktives Sammeln und Analysieren von Informationen über Angreifer und ihrer Methoden

Maßnahme 5.23:

  • Policies und Prozesse rund um den Lebenszyklus von Cloud-Services

Maßnahme 5.30: 

  • Die IT-Landschaft muss die BCM-Ziele des Unternehmens umsetzen können.
  • Dies war in der alten Version so explizite nicht vorhanden.

Maßnahme 7.4: 

  • Kontinuierliches Monitoring bezüglich unerwünschter physischer Zugriffe
  • Dies war in der alten Version so explizit nicht vorhanden.

Maßnahme 8.9: 

  • Konfigurationen von Hardware, Software, Netzwerken usw. sind zu überwachen.

Maßnahme 8.10:

  • Sicherstellen des Löschens von nicht mehr benötigten Daten.

Maßnahme 8.11:

  • Verminderung der Exposition von Daten mittels verschiedener Maskierungstechniken

Maßnahme 8.12:

  • Vermeiden des unautorisierten Datenabflusses mittels DLP-Maßnahmen/Techniken.

Maßnahme 8.16:

  • Überwachen von Systemen, Anwendungen und Netzen auf Anomalien

Maßnahme 8.23:

  • Filterung von externen Websites hinsichtlich unerwünschte Inhalte oder Gefahren.

Maßnahme 8.28:

  • Umsetzen von Methoden, die das Entwickeln sicherer Software sicherstellen.
Vorheriger Beitrag Gegenüberstellung ISO/IEC 27001:2022 und ISO/IEC 27001:2013
Nächster Beitrag Planung eines internen Audits