Zum Hauptinhalt springen
WPROIT WPROIT
de

Compliance & Governance

Was sich in ISO 27001:2022 für europäische Anwender geändert hat

Die Revision 2022 verschärft die Governance, fügt 11 neue Kontrollen hinzu und reorganisiert Anhang A in vier Themen. Ein komprimierter Migrationsleitfaden für Organisationen mit einem 2013er-Zertifikat.

W
WPROIT Administrator
8 Min. Lesezeit
Inhaltsverzeichnis

Wenn Ihre Organisation ein ISO 27001:2013-Zertifikat hält, haben Sie bis Ende 2025 Zeit, auf die 2022er Edition umzustellen. Die Uhr läuft real — Ihre Zertifizierungsstelle wird die Frist nicht verlängern, und die Beschaffungsteams Ihrer Kunden werden lange vorher Fragen stellen.

Die Hauptänderungen

Anhang A wurde von 14 Kontrollkategorien in vier Themen (Organisatorisch, Personen, Physisch, Technologisch) reorganisiert. Die Gesamtzahl der Kontrollen sank durch Konsolidierung von 114 auf 93, aber 11 völlig neue Kontrollen wurden hinzugefügt.

Die 11 neuen Kontrollen — was sie tatsächlich verlangen

  • Threat Intelligence (5.7) — umsetzbar, nicht nur konsumiert
  • Informationssicherheit für die Nutzung von Cloud-Diensten (5.23)
  • IKT-Bereitschaft für die Geschäftskontinuität (5.30)
  • Physische Sicherheitsüberwachung (7.4)
  • Konfigurationsmanagement (8.9)
  • Informationslöschung (8.10)
  • Datenmaskierung (8.11)
  • Datenleckverhinderung (8.12)
  • Überwachungsaktivitäten (8.16)
  • Web-Filterung (8.23)
  • Sichere Programmierung (8.28)

Worauf Auditoren achten werden

Drei Bereiche werden bei Übergangsaudits unverhältnismäßig viel Aufmerksamkeit erhalten: Cloud-Sicherheit (5.23), Threat Intelligence (5.7) und Informationslöschung (8.10) — letztere ist eine häufige Compliance-Lücke, die Organisationen unterschätzen.

Ein sechsstufiger Migrationsplan

  1. Mappen Sie Ihre aktuellen 2013er-Kontrollen auf die 2022er-Struktur (Gap-Analyse)
  2. Identifizieren Sie, welche der 11 neuen Kontrollen tatsächlich auf Ihren Scope zutreffen
  3. Aktualisieren Sie Ihre Anwendungserklärung — dies ist obligatorisch
  4. Dokumentieren Sie die neuen Threat-Intelligence- und Cloud-Sicherheitsprozesse
  5. Führen Sie ein fokussiertes internes Audit zu den neuen und geänderten Bereichen durch
  6. Planen Sie Ihr Übergangsaudit mindestens drei Monate vor Ihrer Frist

Die Compliance-Praxis von WPROIT hat Organisationen in Deutschland, den Niederlanden und Polen durch diese Migration begleitet. Das häufigste Muster: Organisationen mit reifen 2013er-Programmen können in 8-12 Wochen übergehen; diejenigen, deren 2013er-Implementierungen Papierübungen waren, brauchen deutlich länger.

Verschlagwortet mit

#ISO 27001

Diesen Artikel teilen

LinkedIn X E-Mail
W

Verfasst von

WPROIT Administrator

Senior-Berater bei WPROIT beraten europäische Unternehmen zu Cybersecurity, Compliance und Resilienz.

Mit unserem Team sprechen

Weiterlesen

Das könnte Sie auch interessieren

Alle Artikel ansehen →

Eine NIS2-Readiness-Checkliste für den europäischen Mittelstand

NIS2 erweitert den Perimeter "wesentlicher und wichtiger Einrichtungen" in der gesamten EU. Hier ist eine praktische 12-Punkte-Checkliste, die Sicherheitsverantwortliche im Mittelstand vor ihrem Auditor durchgehen können.

9 Min. Lesezeit

Die ersten 72 Stunden nach einem DSGVO-Datenleck: ein pragmatischer Playbook

Die 72-Stunden-Meldepflicht der DSGVO beginnt, wenn Sie sich eines Verstoßes bewusst werden — nicht wenn Sie sich des Umfangs sicher sind. Ein klares Playbook für die druckvollsten drei Tage, denen ein CISO begegnen wird.

10 Min. Lesezeit

MTTR senken: ein Tuning-Playbook für europäische SOCs

Die meisten Security Operations Centres haben kein Alarmproblem — sie haben ein Tuning-Problem. Fünf konkrete Schritte, die die mittlere Reaktionszeit über mehrere WPROIT-Engagements halbiert haben.

7 Min. Lesezeit