Wechsel auf ISO 27001:2022 mit vertretbarem Aufwand

Apr 25, 2024 von Philipp Mangold, Peter Monien

Nach der Verabschiedung der neuen Version des Standards ISO/IEC27001:2022 ist es soweit: Alle zertifizierten Organisationen müssen sich im Rahmen eines Transitions-Audits auf der Basis der neuen Version des Standards zertifizieren lassen. Dafür haben sie bis spätestens am 31.10.2025 Zeit. Sonst verliert ihr Zertifikat seine Gültigkeit. Dies kann u. a. für Softwareunternehmen sehr kritisch sein, bedeutet doch ein ungültiges Zertifikat vertraglich oft einen ausserordentlichen Kündigungsgrund für deren Kunden. Neben einer Umstrukturierung der Gruppierung der bereits vorhandenen Massnahmen sind es vor allem die neu hinzugekommenen elf Massnahmen, die Mehrarbeit verursachen. Versteht man den ISO-Standard, lassen sich die Änderungen aber mit vertretbarem Aufwand umsetzen und die Transition erfolgreich realisieren.


Inhalt

Warum sich nicht so viel geändert hat
Warum der Wechsel doch einigen Aufwand verursacht
Wie Sie die Umstellung mit vernünftigem Aufwand meistern
Warum es Sinn macht, Redguard als erfahrenen externen Partner hinzuzuziehen
Schieben Sie es nicht auf die lange Bank

Warum sich nicht so viel geändert hat

Die meisten Veränderungen der neuen Version ISO/IEC27001:2022 betreffen eine Umgruppierung der vorhandenen Massnahmen in vier neue Themen-Kategorien. Dabei wurden die Controls derjenigen Themen-Kategorie zugeteilt, welche die jeweilige Massnahme massgeblich bestimmt. Ausserdem wurden einige Controls zusammengefasst, um Redundanzen zu vermeiden und eine Einheitlichkeit zu gewährleisten.

Die Anpassung der Kategorien kann mit relativ wenig Aufwand über eine Mapping-Tabelle der alten ISO27001:2013-Nummern zu den neuen ISO 27001:2022-Nummern vollzogen werden. Diese Tabelle befindet sich im hinteren Teil der neuen Norm.

Details zu den Änderungen finden Sie in unserem Blogartikel ISO/IEC 27002:2022 – Was heisst das für Sie?

Warum der Wechsel doch einigen Aufwand verursacht

Der hauptsächliche Zusatzaufwand beim Wechsel auf die neue Version des ISO/IEC27001 besteht in der Beurteilung der elf neuen Controls und der Definition und Umsetzung angemessener Massnahmen für die eigene Organisation:

Kapitel Titel Kategorie
5.7 Threat intelligence Organizational Control
5.23 Information security for use of cloud services Organizational Control
5.30 ICT Readiness for Business Continuity Organizational Control
7.4 Physical security monitoring Physical Control
8.9 Configuration management Technological control
8.10 Information deletion Technological control
8.11 Data masking Technological control
8.12 Data leakage prevention Technological control
8.16 Monitoring activities Technological control
8.22 Web filtering Technological control
8.28 Secure coding Technological control


Eine detaillierte Beschreibung der neuen Controls und der mit diesen verbundenen Anforderungen finden Sie ebenfalls in unserem oben verlinkten Blogartikel.

Wie Sie die Umstellung mit vernünftigem Aufwand meistern

Drei Schritte führen Sie zum Ziel:

  1. Überführen Sie Ihre Controls, indem Sie die Mapping-Tabelle verwenden, um die ISO/IEC 27002:2013-Controls effizient auf die neue Nummerierung der ISO/IEC 27002:2022 zu überführen.
  2. Beurteilen und definieren Sie die elf neuen Controls.
  3. Setzen Sie die neuen Controls um und aktualisieren bestehende Controls.

Zusätzlich können Sie sich überlegen, einen vierten und fünften Schritt zu gehen:

  1. Wenn Sie viele Cloud-Dienste nutzen, sollte Ihr ISMS die Themen geteilte Zuständigkeit (shared responsibility) sowie cloud-spezifische Risiken beinhalten.
  2. Die aktualisierte ISO 27002 unterstützt noch besser dabei, die Anforderungen aus den rechtlichen Vorgaben des Datenschutzes in die Praxis umzusetzen – insbesondere die beiden neuen Controls 8.10 (Information Deletion) und 8.11 (Data Masking). Eine Umsetzung der ISO 27002-Controls deckt einen grossen Teil der Datenschutzanforderungen ab, reicht aber nicht für eine vollständige Datenschutzkonformität.

Warum es Sinn macht, Redguard als erfahrenen externen Partner hinzuzuziehen

Der ISO/IEC 27001 Standard ist nicht Teil Ihres Kerngeschäfts? Sie müssten Ihre Spezialisten von anderen wichtigen Projekten abziehen? Auch wenn Ihre Mitarbeitenden gute Kenntnisse in der operativen Security haben, brauchen diese dennoch Zeit, sich in den ISO-Standard einzudenken, um diesen optimal umsetzen zu können.

Insofern macht es Sinn, Fachexperten, z. B. von Redguard, zu engagieren und sich von diesen unterstützen zu lassen. Das gemeinsame Ziel ist es, die kostbare Zeit Ihrer Mitarbeitenden zu minimieren und einen möglichst effizienten Weg zur Zertifizierung zu finden.

Mit vertretbarem Aufwand erzielen wir gemeinsam ein optimales Ergebnis für Ihr Unternehmen:

  • Wir kennen die Anforderungen des ISO/IEC 27001:2022 Standards und können Optionen aufzeigen sowie gezielt Empfehlungen aussprechen.
  • Wir wissen, worauf Prüfer bei der Bewertung Wert legen.
  • Uns stehen viele praxiserprobte Hilfsmittel (Checklisten, Vorlagen, Prozessdefinitionen etc.) zur Verfügung, die zusammen mit den Erfahrungen unserer Security Consultants die Arbeiten strukturieren, den Aufwand reduzieren und die Qualität sichern.

Schieben Sie es nicht auf die lange Bank

Der Fristablauf am 31.10.2025, scheint auf den ersten Blick noch weit entfernt. Ab Anfang des zweiten Quartal 2025 ist allerdings mit einer längeren Vorlaufzeit bei den Auditoren und ab Anfang des dritten Quartal 2025 mit längeren Bearbeitungszeiten der Zertifizierungstelle zu rechnen. Einige Auditoren empfehlen deswegen, das Transitions-Audits bis spätestens zum 31.7.2025 abgeschlossen zu haben. Möchte man externe Hilfe hinzuziehen, ist zusätzlich zu bedenken, dass ISO 27001-Experten gefragt sind und mit einer Projektvorlaufzeit von mehreren Monaten zu rechnen ist. Diese Vorlaufzeit dürfte sich aufgrund der zu erwartenden grösseren Nachfrage bereits gegen Ende 2024 verlängern.

Handeln Sie vorausschauend und nutzen Sie die aktuell vergleichsweise ruhige Zeit, um mit uns unverbindlich über eine potenzielle Unterstützung Ihres Transitions-Audits auf ISO/IEC 27001:2022 zu sprechen.

Nehmen Sie Kontakt zu uns auf und lassen Sie sich beraten, wie Sie die Umstellung mit einem vernünftigen Aufwand meistern können.


< zurück