ESecurity Cert

​ISO/IEC 27002:2022 - Auswirkungen der neuen ISO/IEC 27002 auf bestehende ISO/IEC 27001-Zertifikate​

Im Rah­men un­se­res letz­ten Blog-Ein­tra­ges ha­ben wir Sie be­reits über or­ga­ni­sa­to­ri­sche und tech­ni­sche Her­aus­for­de­run­gen der neuen ISO/IEC 27002:2022 in­for­miert und eben­falls die neu ein­geführ­ten Kon­trol­len in der ISO/IEC 27002:2022 dar­ge­stellt. Doch wel­che Aus­wir­kun­gen hat das auf be­ste­hende Zer­ti­fi­kate?​

Nach ak­tu­el­lem Stand ist die ISO/IEC 27001:2017-06 die ak­tu­elle Ver­sion, nach der zer­ti­fi­ziert wer­den darf. Al­ler­dings wird eben­diese ak­tu­ell über­ar­bei­tet - eine fi­nale Ver­sion wird noch in 2022 er­war­tet. Da sich wie im vor­he­ri­gen Blog-Ein­trag be­reits dar­ge­stellt, die Ände­run­gen im We­sent­li­chen auf den An­hang be­zie­hen, wer­den im Haupt­ka­pi­tel (Ka­pi­tel 4-10) keine we­sent­li­chen Ände­run­gen er­war­tet. Bis die neue ISO/IEC 27001-Norm veröff­ent­licht und ver­ab­schie­det wurde, er­ge­ben sich für be­ste­hende Zer­ti­fi­kate keine Aus­wir­kun­gen. Und auch für die Zeit nach Veröff­ent­li­chung erst ein­mal nicht.

Mit Um­stel­lung der ISO 27001, müssen auch alle nach 27001 ak­kre­di­tie­ren Stel­len - so auch die ESe­cu­rity-CERT GmbH - einen An­trag auf Ände­rung der Ak­kre­di­tie­rung stel­len. In Deutsch­land hierfür ver­ant­wort­lich ist die Deut­sche Ak­kre­di­tie­rungs­stelle GmbH (DAkkS). Die­ser Pro­zess wird ei­nige Zeit in An­spruch neh­men, da sei­tens der DAkkS alle ent­spre­chen­den Stel­len überprüft wer­den müssen. Für die­sen Überg­ang von der al­ten auf die neue ISO/IEC 27001-Norm ist durch die ESe­cu­rity-CERT GmbH ein Kon­zept zu er­stel­len, wel­ches von der DAKkS u. a. da­hin­ge­hend geprüft wird, wie die geprüften Or­ga­ni­sa­tio­nen über ent­spre­chende Neue­run­gen in­for­miert wer­den und wie die Schu­lun­gen der ver­ant­wort­li­chen Per­so­nen er­fol­gen soll. Gleich­zei­tig sind durch die ESe­cu­rity-CERT GmbH sämt­li­che vor­han­de­nen Do­ku­mente und Vor­la­gen an­zu­pas­sen. Nach er­folg­rei­cher Prüfung durch die DAkkS wer­den die zer­ti­fi­zier­ten Or­ga­ni­sa­tio­nen suk­zes­sive auf die neue gültige ISO/IEC 27001-Norm im Rah­men der re­gelmäßigen Au­dits um­ge­stellt.

Bis da­hin bleibt un­sere Emp­feh­lung: Un­ter­neh­men mit einem im­ple­men­tier­ten ISMS, soll­ten die Um-stel­lung be­reits be­gin­nen zu pla­nen und Res­sour­cen dafür be­reit­zu­stel­len. Trotz „nur“ über­wie­gen­den Ände­run­gen des An­hangs A der ISO/IEC 27001, ist der Auf­wand durch um­fas­sende Struk­turände­rung der ISO/IEC 27002 nicht zu un­ter­schätzen. Wir emp­feh­len - ins­be­son­dere da bis­her noch keine Da­ten veröff­ent­licht wur­den, bis wann die Um­set­zung der neuen An­for­de­run­gen zu er­fol­gen hat - da­her spätes­tens in 2023 ein Pro­jekt zur Um­stel­lung zu in­iti­ie­ren.

Ha­ben Sie Fra­gen, so kon­tak­tie­ren Sie uns gern.

Marc Alex­an­der Luge | Au­gust 2022

 

Gerne beant­wor­ten wir Ihre Fra­gen