Wie werden sich die Änderungen an ISO/IEC 27002:2022 auf Organisationen auswirken, die über ISO/IEC 27001:2013 verfügen?

Die neue Ergänzung zur ISO/IEC 27001, deren Veröffentlichung in diesem Jahr erwartet wird, wird nur Änderungen im Anhang A enthalten, während die Artikel 4 bis 10 gleich bleiben werden. Organisationen müssen ihre Richtlinien und Verfahren gemäß den neuen Kontrollen aktualisieren. Sie werden ihre Sicherheitsmetriken anpassen und Dokumente sowie Verfahren aktualisieren müssen, um mit dem neuen Anhang A der Norm ISO 27001:2013 konform zu sein. 

Was hat sich in ISO/IEC 27002:2022 und ISO/IEC 27001 Anhang A geändert:

• Es gibt 35 Kontrollen, die gleich geblieben sind, und zusammen mit neuen Kontrollen wurden sie in 4 Abschnitte verschoben.
• Es wurden 11 neue Kontrollen hinzugefügt.
• 23 Kontrollen wurden umbenannt, um verständlicher zu sein.
• Obwohl die Anzahl der Kontrollen von 114 auf 93 reduziert wurde, wurden keine Kontrollen ausgeschlossen, sondern nur zusammengeführt.
• 57 Kontrollen wurden zu 24 Kontrollen zusammengeführt.
• Die Kontrolle 18.2.3 "Review of technical compliance" wurde aufgeteilt in:
  • 5.3.6 – Compliance with policies, rules and standards for information security
  • 8.8 – Management of technical vulnerabilities

Soll ich ISO/IEC 27001 einführen und zertifizieren lassen?

Für zertifizierte Unternehmen gilt eine Übergangsfrist von 3 Jahren, um sich auf die neuen Änderungen in ISO/IEC 27001 vorzubereiten. Diese Übergangsfrist tritt erst nach der Aktualisierung und Veröffentlichung der neuen Norm ISO/IEC 27001 in Kraft.

Organisationen können jedoch die überarbeitete Norm ISO/IEC 27002 nutzen und sich proaktiv auf die Änderung vorbereiten.

Das bedeutet, dass die Norm ISO/IEC 27001:2013 noch mindestens 3 Jahre nach der Übernahme der Revision gültig sein wird. Aus diesem Grund ist es nicht erforderlich, auf die Änderung zu warten. Das Warten auf die Revision der Norm könnte sich negativ auf Ihre Informationssicherheit und Geschäftsmöglichkeiten auswirken, und aufgrund der Aktualisierung der Norm ISO/IEC 27002 wird der Übergang zur neuen Version der Norm ISO/IEC 27001 anschließend minimal sein.

Die Firma CeMS Germany GmbH wird nach der Veröffentlichung von Updates und Ergänzungen zur Norm ISO/IEC 27001 ihre Schulungen anpassen, damit Sie sich schnell mit allen Änderungen vertraut machen können. Der voraussichtliche Zeitraum für diese Änderungen ist April bis Mai 2022. Bleiben Sie informiert, indem Sie unsere Nachrichten abonnieren, wo wir Sie über alle offiziellen Normänderungen auf dem Laufenden halten.