Umstellung auf ISO/IEC 27001:2022
Am 9. August 2022 hat das International Accreditation Forum das Dokument IAF MD 26:2022 veröffentlicht, welches die Anforderungen an die Akkreditierungs- und Zertifizierungsstellen für den Übergang zu ISO/IEC 27001:2022 definiert.
Änderungen an ISO/IEC 27001:2022
Dem Dokument zufolge sind die wesentlichen Änderungen der ISO/IEC 27001:2022 folgende:
- Anhang A verweist auf die Kontrollen in ISO/IEC 27002:2022;
- Die Anmerkungen in Abschnitt 6.1.3 c) wurden redaktionell überarbeitet;
- Der Wortlaut von Abschnitt 6.1.3 d) wurde umstrukturiert, um mögliche Unklarheiten zu beseitigen;
Im Vergleich zur vorherigen Version der Norm hat sich die Anzahl der Kontrollen in ISO/IEC 27002:2022 von 114 Kontrollen in 14 Abschnitten auf 93 Kontrollen in 4 Abschnitten verringert. 24 Kontrollen wurden zusammengelegt und 58 Kontrollen wurden aktualisiert.
Änderungen für zertifizierte Unternehmen
Damit Unternehmen auf die Zertifizierung nach ISO/IEC 27001:2022 umsteigen können, müssen folgende Schritte unternommen werden (aber nicht nur):
- die Lückenanalyse der ISO/IEC 27001:2022, sowie die Notwendigkeit von Änderungen am ISMS des Kunden;
- die Aktualisierung der Anwendbarkeitserklärung (SoA);
- gegebenenfalls die Aktualisierung des Risikobehandlungsplans;
- die Umsetzung und Wirksamkeit der neuen oder geänderten Kontrollen, die von den Kunden gewählt wurden;
Alle zertifizierten Kunden müssen innerhalb von 36 Monaten nach dem Veröffentlichungsdatum der Norm (voraussichtlich Oktober 2025) auf ISO/IEC 27001:2022 umstellen.
Anforderungen an die Zertifizierungsstellen
Zertifizierungsstellen müssen innerhalb von 12 Monaten nach der Veröffentlichung der Norm nach ISO/IEC 27001:2022 akkreditiert werden, wobei die Kapazitäten der Akkreditierungsstellen zu berücksichtigen sind.
Die Umstellung der Kunden auf die neue ISO/IEC 27001:2022 kann organisiert werden durch ein:
- Reguläres Audit
- Übergangsaudit
Das Audit muss mindestens einen zusätzlichen 0,5 Audittag betragen.
Für bestehende Kunden wird BM Certification detaillierte Informationen über den Übergang zur neuen ISO/IEC 27002:2022 vorbereiten.
Das Dokument ist hier verfügbar: