Über unsNormenBlog ✦ KIAngebot →
Startseite  /  Blog  /  ISO 27001 Zertifizierung

ISO 27001:2022 Zertifizierung — Ein Umfassender Leitfaden

Die Revision der ISO/IEC 27001:2022 bringt grundlegende Änderungen für Informationssicherheits-Managementsysteme. Dieser Leitfaden behandelt alle wesentlichen Änderungen, die neue Annex-A-Kontrollstruktur, Übergangsfristen und den vollständigen Zertifizierungsprozess — von der Gap-Analyse bis zum erfolgreichen Audit.

ISO 27001 ISMS Zertifizierung

 ·  8 Min. Lesezeit

Warum die Revision 2022 wichtig ist

ISO/IEC 27001:2022 hat die Ausgabe von 2013 im Oktober 2022 abgelöst. Das International Accreditation Forum (IAF) hat ein dreijähriges Übergangsfenster festgelegt, was bedeutet, dass alle bestehenden ISO 27001:2013-Zertifikate bis zum 31. Oktober 2025 auf die Version 2022 umgestellt werden mussten. Nach diesem Datum gilt jedes Zertifikat, das noch auf den Standard von 2013 verweist, als ungültig.

Dies ist kein geringfügiges administratives Update. Während die Kernanforderungen des Managementsystems (Klauseln 4 bis 10) relativ moderate Änderungen erfahren haben, wurde Annex A vollständig umstrukturiert. Die bisherigen 114 Kontrollen in 14 Bereichen wurden zu 93 Kontrollen in nur vier Themengruppen konsolidiert. Elf völlig neue Kontrollen wurden eingeführt, die die sich verändernde Bedrohungslandschaft rund um Cloud Computing, Threat Intelligence, Datenmaskierung und sichere Entwicklungslebenszyklus widerspiegeln.

Wesentliche Änderungen in den Managementsystem-Klauseln

Die Managementsystem-Anforderungen in den Klauseln 4 bis 10 orientieren sich an der Harmonised Structure (HS), die für alle ISO-Managementsystemnormen gilt. Die Revision 2022 führt mehrere gezielte Änderungen ein:

  • Klausel 4.2 — Interessierte Parteien: Organisationen müssen nun explizit festlegen, welche Anforderungen interessierter Parteien durch das ISMS adressiert werden. Dies erfordert eine dokumentierte Analyse, nicht nur eine Stakeholder-Liste.
  • Klausel 4.4 — ISMS-Geltungsbereich: Der Standard verlangt nun, dass Organisationen die für das ISMS erforderlichen Prozesse und deren Wechselwirkungen identifizieren.
  • Klausel 6.3 — Planung von Änderungen: Dies ist eine neue Unterklausel. Wenn die Organisation die Notwendigkeit von Änderungen am ISMS feststellt, müssen diese geplant durchgeführt werden.
  • Klausel 8.1 — Betriebliche Planung und Steuerung: Organisationen müssen Kriterien für Sicherheitsprozesse festlegen und Kontrollen gemäß diesen Kriterien implementieren.
  • Klausel 9.3 — Managementbewertung: Die Eingaben für die Managementbewertung umfassen nun explizit Änderungen der Bedürfnisse und Erwartungen interessierter Parteien.

Die neue Annex-A-Struktur: Vier Themen statt vierzehn

Die auffälligste Änderung ist die Neuorganisation von Annex A. Die Version 2013 hatte 14 Kontrollkategorien (A.5 bis A.18) mit 114 Kontrollen. Die Version 2022 strukturiert diese in vier thematische Gruppen um:

Thema Kontrollen Beschreibung
A.5 Organisatorisch 37 Richtlinien, Rollen, Verantwortlichkeiten, Threat Intelligence, Asset-Management, Zugangskontrolle, Lieferantenbeziehungen und Compliance.
A.6 Personenbezogen 8 Überprüfung, Arbeitsvertragsbedingungen, Sensibilisierung, Schulung, Disziplinarverfahren und Vertraulichkeitsvereinbarungen.
A.7 Physisch 14 Physische Sicherheitsperimeter, Zugangskontrollen, Bürosicherung, physische Sicherheitsüberwachung und Schutz vor Umweltbedrohungen.
A.8 Technologisch 34 Endgeräte, privilegierter Zugang, Schwachstellenmanagement, Konfigurationsmanagement, Datenmaskierung, DLP, Überwachung und sicheres Coding.

Die 11 neuen Kontrollen im Überblick

ISO 27001:2022 führt elf Kontrollen ein, die in der Version 2013 kein direktes Pendant hatten. Jede spiegelt eine spezifische Lücke wider, die durch jahrelange Implementierungserfahrung und die sich ändernde Bedrohungslandschaft identifiziert wurde:

  • A.5.7 — Threat Intelligence: Organisationen müssen Informationen über Bedrohungen sammeln und analysieren. Dies umfasst Threat Feeds, Teilnahme an ISACs und Integration in Risikobewertungen.
  • A.5.23 — Cloud-Dienste: Eine eigene Kontrolle für die Sicherheitsanforderungen bei Beschaffung, Nutzung und Beendigung von Cloud-Diensten.
  • A.5.30 — IKT-Bereitschaft für Business Continuity: IKT-Systeme müssen gezielt auf Störungen vorbereitet sein, mit definierten Wiederherstellungszielen.
  • A.8.9 — Konfigurationsmanagement: Konfigurationen von Hardware, Software und Netzwerken müssen dokumentiert, implementiert und überwacht werden.
  • A.8.10 — Informationslöschung: Nicht mehr benötigte Informationen müssen gelöscht werden — ein wesentlicher Beitrag zur Datenminimierung.
  • A.8.11 — Datenmaskierung: Datenmaskierung muss gemäß der Zugangssteuerungsrichtlinie angewendet werden, insbesondere in Entwicklungs- und Testumgebungen.
  • A.8.12 — DLP (Data Leakage Prevention): Maßnahmen zur Verhinderung von Datenverlust müssen auf Systeme, Netzwerke und Endgeräte angewendet werden.
  • A.8.16 — Überwachungsaktivitäten: Netzwerke und Systeme müssen auf anomales Verhalten überwacht werden.
  • A.8.23 — Webfilterung: Der Zugriff auf externe Websites muss verwaltet werden, um die Exposition gegenüber bösartigen Inhalten zu reduzieren.
  • A.8.28 — Sicheres Coding: Sichere Coding-Prinzipien müssen bei der Softwareentwicklung angewendet werden.

Übergangszeitplan: Aktueller Stand

Das IAF hat mit MD 26:2022 die Übergangsanforderungen für Zertifizierungsstellen und deren Kunden festgelegt. Die wichtigsten Termine:

  • Oktober 2022: Veröffentlichung der ISO/IEC 27001:2022. Beginn der Übergangsfrist.
  • April 2024: Zertifizierungsstellen dürfen Erstaudits nur noch gegen die Version 2022 durchführen.
  • 31. Oktober 2025: Alle bestehenden ISO 27001:2013-Zertifikate werden ungültig.

Organisationen, die die Frist im Oktober 2025 versäumt haben, sollten umgehend ihre Zertifizierungsstelle kontaktieren. Einige Stellen bieten beschleunigte Rezertifizierungswege an.

Schritt-für-Schritt-Zertifizierungsprozess

Ob Übergang oder Neuzertifizierung — die folgenden Schritte bieten einen strukturierten Ansatz:

Schritt 1: Gap-Analyse durchführen. Vergleichen Sie Ihre aktuelle Erklärung zur Anwendbarkeit (SoA) mit den neuen Annex-A-Kontrollen. Identifizieren Sie die 11 neuen Kontrollen und bewerten Sie Ihren aktuellen Reifegrad.

Schritt 2: Risikobewertung aktualisieren. Der Kontrollsatz in Ihrem Risikobehandlungsplan muss auf Annex A der ISO 27002:2022 aktualisiert werden. Bewerten Sie Risiken neu, bei denen neue Kontrollen die Behandlungsstrategie ändern könnten.

Schritt 3: Erklärung zur Anwendbarkeit überarbeiten. Die SoA ist das wichtigste Dokument Ihres ISMS aus Audit-Perspektive. Sie muss die 93 Kontrollen der Version 2022 referenzieren und klar darlegen, welche anwendbar sind.

Schritt 4: Richtlinien und Verfahren aktualisieren. Überprüfen Sie alle Informationssicherheitsrichtlinien auf Übereinstimmung mit dem neuen Kontrollsatz. Besonderes Augenmerk auf Bereiche mit neuen Prozessanforderungen.

Schritt 5: Neue Kontrollen implementieren. Für jede der 11 neuen anwendbaren Kontrollen definieren Sie den Implementierungsansatz, weisen Verantwortliche zu und legen Zeitpläne fest.

Schritt 6: Internes Audit durchführen. Führen Sie vor dem Zertifizierungsaudit ein vollständiges internes Audit gegen die Anforderungen von 2022 durch.

Schritt 7: Managementbewertung. Halten Sie eine Managementbewertung ab, die alle aktualisierten Eingaben gemäß Klausel 9.3 berücksichtigt.

Schritt 8: Zertifizierungsaudit. Vereinbaren Sie mit Ihrer Zertifizierungsstelle den Termin für das Übergangs- oder Rezertifizierungsaudit. Stellen Sie sicher, dass alle Nachweise zur Kontrollimplementierung verfügbar sind.

Häufige Fehler vermeiden

  • Reine Umnummerierung: Die bloße Zuordnung alter Kontrollnummern zu neuen verfehlt die Intention der Revision. Die neuen Kontrollen adressieren reale Lücken.
  • Attribut-Taxonomie ignorieren: Die Kontrollattribute (präventiv/detektiv/korrektiv, CIA-Eigenschaften) bieten ein leistungsfähiges Framework für die Kommunikation des Sicherheitsstatus.
  • Technologieanforderungen unterschätzen: Kontrollen wie A.8.16 (Überwachung), A.8.12 (DLP) und A.8.23 (Webfilterung) erfordern möglicherweise neue Tools.
  • Schulung interner Auditoren vernachlässigen: Interne Auditoren, die noch mit der 2013-Checkliste arbeiten, können keine wirksamen Audits gegen die Version 2022 durchführen.

Wie BALTUM Sie unterstützt

Das internationale Netzwerk von BALTUM unterstützt Organisationen seit der Veröffentlichung des Standards bei der Umstellung auf ISO 27001:2022. Unsere Leistungen umfassen:

  • Gap-Analyse: Eine strukturierte Bewertung Ihres aktuellen ISMS gegen die Anforderungen von 2022, geliefert als priorisierter Aktionsplan.
  • SoA-Unterstützung: Fachkundige Beratung bei der Aktualisierung Ihrer Erklärung zur Anwendbarkeit.
  • Interne Auditor-Schulung: Akkreditierte Schulungsprogramme für Ihr internes Audit-Team.
  • Vor-Zertifizierungs-Review: Eine vollständige Bereitschaftsbewertung durch erfahrene Auditoren.
  • Rezertifizierung: Für Organisationen, die die Übergangsfrist versäumt haben, bieten wir ein beschleunigtes Programm zur Rezertifizierung.

Die Umstellung auf ISO 27001:2022 ist nicht nur eine Compliance-Pflicht — sie ist eine Chance, Ihre Sicherheitslage mit Kontrollen zu stärken, die die moderne Bedrohungslandschaft widerspiegeln.