Die ISO27001:2022 wurde im Oktober 2022 in Englisch veröffentlicht. Für die deutsche Übersetzung gibt es einen Entwurf, der sich im Freigabeprozess befindet. Zusammen mit der Norm ISO27001 wird der Annex A bzw. die ISO27002 erneuert. Statt 114 sind es nun 93 Controls. Im folgenden Artikel gebe ich einen Überblick über die Veränderungen und ein paar praktische Tipps zum Umgang bei Erst- und Re-Zertifizierung.

Wird damit nun alles sicherer in der IT?

Meine Meinung: Einen Automatismus sollte man hier nicht erwarten.

Für alle bereits nach ISO27001 zertifizierten Informationssicherheitsmanagementsysteme steht nun jedoch eine Anpassung bevor. Es gibt eine Übergangszeit von 3 Jahren, in der die vorhergehende ISO27001:2017 noch bei Auditierungen akzeptiert wird, aber ab 2025 sollte die Umstellung vollzogen sein. Wer erstmalig den Aufbau eines Informationssicherheitsmanagementsystems plant, sollte gleich die neueste Fassung berücksichtigen. Es erspart einem nicht nur den Umstellungsaufwand, die Controls des Annex A sind vor allem auf die aktuell vorzufindenden IT-Architekturen und Unternehmensbedingungen zugeschnitten.

Was ist nun konkret zu tun?

Für den Aufbau oder die Anpassung ihres Informationssicherheitsmanagementsystems steht es Ihnen frei, wie viel externe Unterstützung Sie sich ins Haus holen. Meist ist das Fachwissen im Bereich IT-Sicherheitsmanagement begrenzt und daher sollten Sie – ganz im Sinne der Norm – alle verfügbaren Ressourcen einbeziehen. Lassen Sie uns einen Austausch beginnen und ganz im Sinne einer gesunden Fehlerkultur prüfen, wo und wie wir Ihr Sicherheitsniveau erhöhen können. Denn “IT-Sicherheit geht alle an”. Wir sind uns sicher, dass die IT-Sicherheit des eigenen Unternehmens kein Wettbewerbsvorteil sein sollte, sondern nur das Fehlen ist ein Wettbewerbsnachteil.

Daher beraten Sie unsere ISMS-Consultants gerne zu den Neuerungen der ISO27001:2022 und den notwendigen Anpassungen Ihres ISMS.

Darüber hinaus empfehlen wir neben dem Studium der Norm selbst das im Oktober 2022 erschienene Buch von Jacqueline Naumann. Als Informatikerin ist Frau Naumann seit 2017 berufene ISO/IEC 27001-Zertifizierungsauditorin.

Die Autorin erläutert in stark komprimierter Form die Anforderungen, die für eine ISO/IEC 27001:2022-Zertifizierung umgesetzt werden müssen. Farbige Praxis-Beispiele aus dem Audit-, Berater- und Traineralltag der Autorin machen die Anforderungen verständlich.

Darfs auch ein bisschen mehr sein? Ein Tool, sie alle zu vereinen.

Die üblichen Officeprodukte zur Realisierung eines ISMS genügen sicherlich einer Zertifizierung und dem Informationssicherheitsbeauftragten. Wer etwas mehr Unterstützung durch ein Werkzeug möchte, befasst sich mit ISMS-Tools.

SHD bietet Ihnen das im eigenen Hause entwickelte ISMS@Aeneis an. Das Tool unterstützt Sie beim Erreichen der ISO27001-Zertifizierung und operativen wie strategischen Aufgaben eines ISMS. Der prozessorientierte Ansatz ist einmalig im deutschen Markt und entfaltet seinen größten Nutzen in einem Governance, Risk und Compliance-Ansatz, der mit dem zugrunde liegenden aeneis der intellior AG ermöglicht wird.

Das ISMS@Aeneis beinhaltet bereits die neuen 93 Controls und ist damit ISO27001:2022 ready. Worauf warten Sie noch?

Wer bereits nach ISO27001:2017 zertifiziert ist, erhält die Updatedateien im Rahmen seiner Wartung *. Das Update beinhaltet die Zuordnung der bestehenden Controls der ISO27001:2017 zu den neuen Controls der ISO27001:2022. Somit gelingt Ihnen die Überführung der bestehenden Anwendbarkeitserklärung im Handumdrehen.

Unser Tipp: Schnuppern Sie in die Welt von ISMS@aeneis | Webinar am 13.12.2022

Einen ersten Eindruck unseres ISMS@Aeneis vermittle ich Ihnen gern im Rahmen dieses einstündigen Webinars am 13.12.2022 von 14–15Uhr. Dabei lasse ich gern ein paar Anekdoten und Erfahrungen aus den letzten fünf Jahren ISMS-Implementierung einfließen.

Agenda

• ISMS nach ISO 27001, auch die ISO27001:2022 – was kann das Tool ISMS@Aeneis und welche Mehrwerte liefert es in der Praxis?
• BCMS nach ISO 22301 – Notfälle strukturiert vorbereiten und in der Krise schnell reagieren
• Kombination von BIA und Risk Assesment durch innovative Toolunterstützung
• Einbettung in GRC (Governance, Risk and Compliance)
• Fragen und Diskussion

*Die Updatedateien sind für den Standardauslieferungszustand vorgesehen. Bei individuellen Anpassungen der Kundenumgebung kann eine Dienstleistungsgebühr für die Integration notwendig sein. Fragen Sie Ihren Aeneis-Berater für eine Evaluation.