Übergangsanforderungen für die ISO/IEC 27001:2022

Der Prozess der Transition für die ISO/IEC 27001 nimmt mit dem Entwurf eines IAF Dokumentes erste Formen an.

Nach fast 10 Jahren wurde die ISO/IEC 27001 überarbeitet und eine Transition wird notwendig. Das normative Dokument ISO/IEC 27001:2022 ersetzt dabei die ISO/IEC 27001:2013 – mit einer Übergangsfrist von 36 Monaten.

Da nicht mehr als zwei separate Dokumente in Form von Änderungen veröffentlicht werden dürfen, die eine aktuelle internationale Norm ändern, wird die ISO/IEC 27001:2022 erst nach Vorbereitung der ISO/IEC 27001:2013/AMD1:2022 veröffentlicht.

Die wichtigsten Änderungen

  • Anhang A verweist auf die Maßnahmen der ISO/IEC 27002:2022
  • Die Anmerkungen zu Abschnitt 6.1.3 c) wurden redaktionell überarbeitet, so wurde u. A. der Begriff der Maßnahmenziele gestrichen
  • Der Wortlaut von Abschnitt 6.1.3 d) wird neu geordnet, um die potenzielle Mehrdeutigkeit zu beseitigen

Der Zeitrahmen:

Was unternimmt die GUTcert?

Die GUTcert entwickelt ihre Übergangsregelung für die ISO/IEC 27001:2022 unter Berücksichtigung der Anforderungen des IAF Dokuments und der Übergangsregelung der DAkkS. In der Übergangsregelung legt sie fest, was die Zertifizierungsstelle und was der Kunde zu tun hat.

Die Übergangsregelung umfasst dabei mindestens folgende Aspekte:

  • die Änderungen in der ISO/IEC 27001 und die Gap-Analyse
  • die Notwendigkeit, die Zertifizierungsprozesse, Dokumente und gegebenenfalls IT-Systeme für die Verwaltung der Zertifizierungstätigkeiten zu ändern
  • die Prüfung, dass das zuständige Personal für die ISO/IEC 27001:2022 und den Übergangsprozess kompetent ist
  • das Auditteam als Ganzes muss Kenntnis von allen in der ISO/IEC 27002:2022 enthaltenen Maßnahmen und deren Umsetzung haben (siehe ISO/IEC 27006:2015, 7.1.2.1.3 b)
  • das Transition-Auditprogramm

Führt der Kunde den Übergang nicht vor dem Ende des Übergangszeitraums durch, wird rechtzeitig mit dem Kunden kommuniziert über das Übergangsprogramm, wie etwa den Zeitplan, den Übergangsprüfungsansatz und die Konsequenzen.

Der Übergang beim Kunden

Die Zertifizierungsstelle kann das Transition-Audit in Verbindung mit dem Überwachungsaudit, dem Rezertifizierungsaudit oder als separates Audit durchführen.

Das Übergangsaudit stützt sich auf die Überprüfung der Dokumente und insbesondere auf die Überprüfung der technischen Kontrollen. Die Übergangsprüfung umfasst unter anderem:

  • die Gap-Analyse von ISO/IEC 27001:2022 sowie die Notwendigkeit von Änderungen am ISMS des Kunden
  • die Aktualisierung der Anwendbarkeitserklärung (SoA)
  • gegebenenfalls die Aktualisierung des Risikobehandlungsplans
  • die Implementierung und Wirksamkeit der neuen oder geänderten Kontrollen, die von den Kunden ausgewählt wurden

Das Audit umfasst mindestens 0,5 zusätzliche Prüftage, um den Übergang der zertifizierten Kunden zu bestätigen, wenn der Übergang während eines Überwachungsaudits oder als separates Audit erfolgt.

Die Zertifizierungsstelle

  • kann das Übergangsaudit remote durchführen, wenn sie sicherstellt, dass die Ziele des Übergangsaudits erreicht werden
  • kann den Zeitplan für die Einreichung des Übergangsantrags durch die zertifizierten Kunden im Übergangsauditprogramm festlegen
  • trifft die Übergangsentscheidung auf der Grundlage des Ergebnisses der Übergangsprüfung
  • aktualisiert die Zertifizierungsdokumente für den zertifizierten Kunden, wenn sein ISMS die Anforderungen von ISO/IEC 27001:2022 erfüllt

Alle Zertifizierungen nach ISO/IEC 27001:2013 laufen am Ende des Übergangszeitraums aus oder werden zurückgezogen.

Haben Sie Fragen?

Wenden Sie sich gerne an Andreas Lemke.

Zurück