UPDATE zur Informationssicherheits-Zertifizierung nach ISO/IEC 27001:2022 ab Herbst 2023
Nach fast 10 Jahren ist die ISO/IEC 27001, der Leitfaden für Informationssicherheitsmaßnahmen, überarbeitet worden.
Im Oktober 2022 wurde die neue Norm ISO/IEC 27001:2022 für ISMS veröffentlicht, die bis zur nächsten Revision Grundlage zur Zertifizierung von Managementsystemen ist. Zertifikate auf Basis der DIN EN ISO/IEC 27001:2017 müssen innerhalb der nächsten 3 Jahre mit Stichtag bis zum 31.10.2025 umgestellt werden.
Transition bis zum 31.10.2025 möglich
Für die Vorgehensweise zur Umstellung der bis dahin gültigen Zertifikate gibt es eine Vorgabe des IAF im Dokument MD 26:2023. Weitere Vorgaben sind auch bei der DAkkS zu finden. Die GUTcert hat daraus einen Transition-Plan aufgestellt.
Dessen Kernpunkte sind:
- Auditierungen nach der neuen Norm sind ab sofort möglich
- Zertifikate auf Basis der ISO/IEC 27001:2022 können erst dann erteilt werden, wenn die Akkreditierung auf die aktuelle Norm umgestellt und eine entsprechende Akkreditierungsurkunde ausgestellt wurde – ein Termin dafür steht noch nicht fest. Allerdings muss nach dem MD26 die Umstellung der Akkreditierung durch die DAkkS bis zum 31.10.2023 abgeschlossen sein.
- Für die Umstellung ist ein Vor-Ort-Audit notwendig, dieses kann gesondert oder in Verbindung mit einem Rezertifizierungs- oder Überprüfungsaudit erfolgen.
- Für dieses Audit ist ein Mehraufwand von mindestens einem Tag zu veranschlagen (0,5 Tage bei Kombination mit Rezertifizierung).
- Eine Auditierung nach der alten DIN EN ISO/IEC 27001:2017 ist prinzipiell bis zum Ablauf der Übergangsfrist am 31.10.2025 möglich, empfohlen wird aber, das Transition-Audit spätestens mit dem letzten planmäßigen Audit vor Ablauf der Übergangsfrist zu kombinieren.
- Der Gültigkeitszeitraum von Zertifikaten, die nach der alten Norm ausgestellt werden, wird auf den 31.10.2025 begrenzt. Nach Umstellung auf die neue Norm wird diese Verkürzung wieder rückgängig gemacht.
Was ist neu?
Die wesentlichen Änderungen der ISO/IEC 27001:2022 finden sich im Anhang, in dem alle Maßnahmen (Controls) aufgeführt sind, die bei der Umsetzung des ISMS zu beachten sind. Die bisherigen 114 Controls wurden auf 93 reduziert. Davon wurden 11 neu definiert, 56 zu 24 zusammengefasst und die anderen neu formuliert. Auch die Struktur wurde komplett geändert: Statt wie bisher in 14 Kapiteln kategorisiert, werden die Controls nun in 4 Themen unterteilt. Der eigentliche Normtext hingegen ist fast unverändert geblieben. Genauere Informationen gibt es im nächsten Newsletter!
Was müssen zertifizierte Organisationen jetzt tun?
Jeder Anwender der ISO/IEC 27001 sollte sich umgehend mit den geänderten Anforderungen vertraut machen und die Umstellung des eigenen ISMS planen.
Die GUTcert wird in ihrem Newsletter regelmäßig über die weitere Entwicklung informieren. Unsere Kunden werden darüber hinaus aktiv angesprochen, um die Transition zur neuen Norm fristgerecht einzuleiten.
Ansprechperson
Haben Sie Fragen oder Hinweise zur ISO 27001? Wenden Sie sich gerne an Nicola Mohr.