Auswirkungen der ISO/IEC 27001:2022 auf die Auditierung nach ITSK

Ausgehend vom Zeitpunkt der Revision der ISO/IEC 27001 im Oktober 2022 müssen Audits nach IT-Sicherheitskatalog gemäß § 11 Absatz 1a & 1b EnWG spätestens nach Ablauf von zwei Jahren verpflichtend durchgeführt werden.

Transitionsaudits im Rahmen des regulären Überprüfungs- bzw. Rezertifizierungsaudits oder einem Sonderaudit müssen demzufolge spätestens ab dem 01.11.2024 erfolgen.

Die Prüfungsschwerpunkte bei diesem Audit liegen u.a. hier:

  • Gap Analyse zur Ermittlung des Änderungsbedarf für das ISMS des Kunden
  • Anpassung der SoA
  • Aktualisierung des Risikobehandlungsplan
  • Einführung und Wirksamkeit der neuen Maßnahmen

Für die Überprüfung dieser Punkte fällt gemäß den Anforderungen des International Accreditation Forums (IAF) ein zusätzlicher zeitlicher Aufwand an. Folgende Richtwerte sind für solche Übergangsaudits über den normalen Auditumfang hinaus mindestens zu kalkulieren:

Was ändert sich für mein ISMS?

Zunächst wird aufgrund der neuen Namensgebung der ISO/IEC 27001:2022 deutlich, dass der Fokus nun insbesondere auf der Cybersicherheit und dem Datenschutz liegt.

Was die Zusatzanforderungen für eine Auditierung nach ITSK betrifft, ergeben sich nur wenige Änderungen. Zum einen enthält die aktuelle Fassung der ISO/IEC 27019 bereits jetzt einen Teil der neuen Anforderungen. Zum anderen bleiben die Zusatzanforderungen aus dem ITSK unverändert bestehen, für die kein Bezug zur ISO/IEC 27001 existiert.

Die GUTcert unterstützt Sie auf dem Weg zum neuen Zertifikat.

GUTcert-Kunden profitieren bei ihrem internen Audit von einer komplexen Checkliste, die sie nach Auftragserteilung von uns erhalten. Durch eine Prüfung Ihres Informationssicherheits-Managementsystems anhand dieser Checkliste können Sie einschätzen, ob die Maßnahmen und Lösungen Ihres ISMS den Auditanforderungen entsprechen.

GAP-Audit

Falls Sie dennoch unsicher sind, ob Sie alle Vorgaben der neuen Norm bereits erfüllen, können Sie im Rahmen eines GAP-Audits eventuelle Differenzen zum Soll-Zustand ermitteln lassen. Die GUTcert bietet Ihnen diese Leistung als Zusatzaufwand an.

GUTcert Akademie

Unsere GUTcert Akademie ausführliche Praxisseminare und Informationsveranstaltungen zu diesem Thema.

Bereits Anfang April dieses Jahres findet der Kurs zum Informationssicherheitsbeauftragter/-auditor (gn) nach ISO/IEC 27001 (GUTcert) statt, in dem unter anderem folgende Inhalte besprochen werden:

  • Konzepte & Forderungen ISO/IEC 27001:2022
  • Aufbau und Optimierung eines ISMS
  • Risikomanagement, Dokumentation
  • Auditvorbereitung

Mehr Informationen zu dieser Veranstaltung finden Sie unter: Informationssicherheitsbeauftragter/-auditor (gn) nach ISO 27001 (GUTcert).

Transition-Angebot

Zur Vereinbarung eines Transition-Audits nutzen Sie gerne das am 25.09.2023 an alle Kunden versendete Transition-Angebot.

Haben Sie Fragen oder Hinweise zur ISO/IEC 27001? Wenden Sie sich gerne an Nicole Petzke.

Zurück