Der Unterschied zwischen ISO 27001:2013 und ISO 27001:2022

Was hat sich geändert?

Die Norm ISO 27001 ist ein international anerkanntes Regelwerk für Informationssicherheits-Managementsysteme (ISMS). Sie dient Organisationen weltweit als Leitfaden, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen. Im Jahr 2022 wurde die Norm erstmals seit 2013 umfassend überarbeitet. Doch was hat sich konkret verändert, und was bedeutet das für Unternehmen?

In diesem Blogbeitrag beleuchten wir die wichtigsten Unterschiede zwischen der ISO 27001:2013 und der ISO 27001:2022. Dabei gehen wir sowohl auf die strukturellen als auch inhaltlichen Neuerungen ein und zeigen, warum diese Anpassungen für moderne Unternehmen von Bedeutung sind.

 

Warum eine neue Version?

Die Anforderungen an die Informationssicherheit haben sich in den letzten Jahren drastisch verändert. Cyberbedrohungen wie Ransomware, Phishing oder Datenlecks nehmen kontinuierlich zu. Gleichzeitig steigen regulatorische Anforderungen und Erwartungen an Unternehmen, sensible Daten zuverlässig zu schützen. Die Überarbeitung der ISO 27001 spiegelt diese Veränderungen wider und bringt die Norm auf den neuesten Stand der Technik und Praxis.

Die wesentlichen Änderungen im Überblick

1. Anpassungen an die Struktur der Norm

Die überarbeitete Fassung von 2022 ist weiterhin nach der sogenannten High-Level-Structure (HLS) aufgebaut, was die Integration mit anderen ISO-Standards (wie ISO 9001 oder ISO 22301) erleichtert. Allerdings wurden einige Begriffe präzisiert, um die Lesbarkeit und Anwendbarkeit der Norm zu verbessern.

Ein Beispiel ist die Klarstellung von Anforderungen an die Kontextanalyse eines Unternehmens. Hier wird nun explizit darauf hingewiesen, dass sowohl interne als auch externe Faktoren regelmäßig überprüft werden müssen.

2. Überarbeiteter Anhang A: Neue und aktualisierte Steuermaßnahmen

Der Anhang A, der die Steuermaßnahmen (Controls) des ISMS enthält, wurde umfassend überarbeitet. Während die ISO 27001:2013 noch 114 Steuermaßnahmen in 14 Kategorien umfasste, gibt es in der ISO 27001:2022 nun 93 Steuermaßnahmen, die in 4 Kategorien organisiert sind:

• Organisatorische Maßnahmen
• Technische Maßnahmen
• Physische Maßnahmen
• Maßnahmen zur Beteiligung von Personen

Durch diese neue Struktur wird es für Unternehmen einfacher, die Maßnahmen zu verstehen und anzuwenden.

Zudem wurden neue Steuermaßnahmen hinzugefügt, die aktuelle Bedrohungsszenarien abdecken. Beispiele hierfür sind:

• Threat Intelligence (Bedrohungsinformationen): Unternehmen sollen aktiv Informationen über aktuelle Cyber-Bedrohungen sammeln und nutzen.
• Cloud Security: Spezifische Anforderungen an die Sicherung von Cloud-Diensten wurden ergänzt.
• Data Masking (Datenmaskierung): Eine neue Maßnahme, um sensible Daten durch Anonymisierung oder Pseudonymisierung zu schützen.
• Monitoring physischer Sicherheitsbereiche: Verbesserte Überwachung physischer Standorte.

3. Integration von Risikomanagement und Bedrohungsanalysen

Während das Risikomanagement bereits in der 2013er-Fassung zentral war, legt die ISO 27001:2022 noch mehr Wert auf die kontinuierliche Analyse von Bedrohungen. Die Norm fordert Unternehmen nun explizit dazu auf, Bedrohungsinformationen systematisch in ihre Risikobewertung einzubeziehen.

4. Verbesserte Anforderungen an die Dokumentation

Die Anforderungen an die Dokumentation wurden klarer formuliert. Unternehmen können nun flexibler entscheiden, in welchem Umfang sie dokumentieren, solange sie den Nachweis erbringen können, dass die Anforderungen der Norm erfüllt werden.

Was bedeutet das für Unternehmen?

Für Unternehmen, die bereits nach ISO 27001:2013 zertifiziert sind, bedeutet die Aktualisierung, dass sie ihre bestehenden ISMS-Systeme an die neuen Anforderungen anpassen müssen. Dies betrifft insbesondere:

1. Überprüfung der aktuellen Steuermaßnahmen: Unternehmen sollten sicherstellen, dass die neuen Steuermaßnahmen berücksichtigt werden.
2. Aktualisierung der Risikoanalysen: Die Integration von Bedrohungsinformationen wird zunehmend wichtiger.
3. Anpassung der Dokumentation: Die Dokumentation sollte auf Basis der neuen Normanforderungen überprüft und gegebenenfalls optimiert werden.

Für Organisationen, die eine Erstzertifizierung anstreben, empfiehlt es sich, direkt mit der ISO 27001:2022 zu arbeiten, um den neuesten Anforderungen gerecht zu werden.

Unser Fazit

Die Überarbeitung der ISO 27001 war notwendig, um den gestiegenen Anforderungen an die Informationssicherheit gerecht zu werden. Die Neuerungen machen die Norm nicht nur moderner, sondern auch praxisnäher und flexibler.

Global Mundi setzt bereits auf die neuen Standards der ISO 27001:2022. Wir unterstützen Sie gerne bei der Umsetzung der Anforderungen und bieten Übersetzungsdienstleistungen für alle Dokumentationen im Rahmen Ihrer ISMS-Zertifizierung.

Haben Sie Fragen zu ISO-Standards oder benötigen Unterstützung?
Kontaktieren Sie uns – wir sind für Sie da!