Apr 25, 2024 von Philipp Mangold, Peter Monien
Nach der Verabschiedung der neuen Version des Standards ISO/IEC27001:2022 ist es soweit: Alle zertifizierten Organisationen müssen sich im Rahmen eines Transitions-Audits auf der Basis der neuen Version des Standards zertifizieren lassen. Dafür haben sie bis spätestens am 31.10.2025 Zeit. Sonst verliert ihr Zertifikat seine Gültigkeit. Dies kann u. a. für Softwareunternehmen sehr kritisch sein, bedeutet doch ein ungültiges Zertifikat vertraglich oft einen ausserordentlichen Kündigungsgrund für deren Kunden. Neben einer Umstrukturierung der Gruppierung der bereits vorhandenen Massnahmen sind es vor allem die neu hinzugekommenen elf Massnahmen, die Mehrarbeit verursachen. Versteht man den ISO-Standard, lassen sich die Änderungen aber mit vertretbarem Aufwand umsetzen und die Transition erfolgreich realisieren.
Warum sich nicht so viel geändert hat
Warum der Wechsel doch einigen Aufwand verursacht
Wie Sie die Umstellung mit vernünftigem Aufwand meistern
Warum es Sinn macht, Redguard als erfahrenen externen Partner hinzuzuziehen
Schieben Sie es nicht auf die lange Bank
Die meisten Veränderungen der neuen Version ISO/IEC27001:2022 betreffen eine Umgruppierung der vorhandenen Massnahmen in vier neue Themen-Kategorien. Dabei wurden die Controls derjenigen Themen-Kategorie zugeteilt, welche die jeweilige Massnahme massgeblich bestimmt. Ausserdem wurden einige Controls zusammengefasst, um Redundanzen zu vermeiden und eine Einheitlichkeit zu gewährleisten.
Die Anpassung der Kategorien kann mit relativ wenig Aufwand über eine Mapping-Tabelle der alten ISO27001:2013-Nummern zu den neuen ISO 27001:2022-Nummern vollzogen werden. Diese Tabelle befindet sich im hinteren Teil der neuen Norm.
Details zu den Änderungen finden Sie in unserem Blogartikel ISO/IEC 27002:2022 – Was heisst das für Sie?
Der hauptsächliche Zusatzaufwand beim Wechsel auf die neue Version des ISO/IEC27001 besteht in der Beurteilung der elf neuen Controls und der Definition und Umsetzung angemessener Massnahmen für die eigene Organisation:
Kapitel | Titel | Kategorie |
---|---|---|
5.7 | Threat intelligence | Organizational Control |
5.23 | Information security for use of cloud services | Organizational Control |
5.30 | ICT Readiness for Business Continuity | Organizational Control |
7.4 | Physical security monitoring | Physical Control |
8.9 | Configuration management | Technological control |
8.10 | Information deletion | Technological control |
8.11 | Data masking | Technological control |
8.12 | Data leakage prevention | Technological control |
8.16 | Monitoring activities | Technological control |
8.22 | Web filtering | Technological control |
8.28 | Secure coding | Technological control |
Eine detaillierte Beschreibung der neuen Controls und der mit diesen verbundenen Anforderungen finden Sie ebenfalls in unserem oben verlinkten Blogartikel.
Drei Schritte führen Sie zum Ziel:
Zusätzlich können Sie sich überlegen, einen vierten und fünften Schritt zu gehen:
Der ISO/IEC 27001 Standard ist nicht Teil Ihres Kerngeschäfts? Sie müssten Ihre Spezialisten von anderen wichtigen Projekten abziehen? Auch wenn Ihre Mitarbeitenden gute Kenntnisse in der operativen Security haben, brauchen diese dennoch Zeit, sich in den ISO-Standard einzudenken, um diesen optimal umsetzen zu können.
Insofern macht es Sinn, Fachexperten, z. B. von Redguard, zu engagieren und sich von diesen unterstützen zu lassen. Das gemeinsame Ziel ist es, die kostbare Zeit Ihrer Mitarbeitenden zu minimieren und einen möglichst effizienten Weg zur Zertifizierung zu finden.
Mit vertretbarem Aufwand erzielen wir gemeinsam ein optimales Ergebnis für Ihr Unternehmen:
Der Fristablauf am 31.10.2025, scheint auf den ersten Blick noch weit entfernt. Ab Anfang des zweiten Quartal 2025 ist allerdings mit einer längeren Vorlaufzeit bei den Auditoren und ab Anfang des dritten Quartal 2025 mit längeren Bearbeitungszeiten der Zertifizierungstelle zu rechnen. Einige Auditoren empfehlen deswegen, das Transitions-Audits bis spätestens zum 31.7.2025 abgeschlossen zu haben. Möchte man externe Hilfe hinzuziehen, ist zusätzlich zu bedenken, dass ISO 27001-Experten gefragt sind und mit einer Projektvorlaufzeit von mehreren Monaten zu rechnen ist. Diese Vorlaufzeit dürfte sich aufgrund der zu erwartenden grösseren Nachfrage bereits gegen Ende 2024 verlängern.
Handeln Sie vorausschauend und nutzen Sie die aktuell vergleichsweise ruhige Zeit, um mit uns unverbindlich über eine potenzielle Unterstützung Ihres Transitions-Audits auf ISO/IEC 27001:2022 zu sprechen.
Nehmen Sie Kontakt zu uns auf und lassen Sie sich beraten, wie Sie die Umstellung mit einem vernünftigen Aufwand meistern können.