International Organization for Standardization (ISO) und International Electrotechnical Commission (IEC) arbeiten an einer Aktualisierung der ISO/IEC 2700x-Familie. Die Veröffentlichung der ISO/IEC 27001:2022 steht voraussichtlich im Zeitraum Mai bis Oktober 2022 bevor – die überarbeitete ISO/IEC 27002:2022 ist seit 15. Februar 2022 verfügbar. Auch für verinice-Anwender*innen, die mit dem Open-Source-ISMS-Tool der SerNet GmbH ein ISMS nach ISO 27001 betreiben, werden sich Neuerungen ergeben.
Absehbar für die ISO/IEC 27001:2022 ist bereits: Während die Management-Anforderungen an das ISMS in den Kapiteln 4 bis 10 wenig Neues bieten, wurde der Annex A mit jetzt vier Kapiteln und 93 statt 114 normativen Controls umfassend überarbeitet.
Die Mitte Februar 2022 veröffentlichte "ISO 27002:2022 Information security, cybersecurity and privacy protection — Information security controls" enthält in nunmehr 4 statt wie bisher 14 Kapiteln Leitfäden für die Umsetzung der Controls zu organisatorischen, physischen, personellen und technischen Aspekten. Entscheidend ist hierbei, dass im Vergleich zur Vorgängerversion kein Control unverändert bleibt. Konkret ist ein Control entfallen, 56 Controls wurden zu 24 Controls zusammengefasst, 11 Controls sind neu und alle weiteren neu formuliert. Neu ist im Annex A auch die Berücksichtigung von Attributen zu Control Type, Information Security Properties, Cybersecurity Concepts, Operational Capabilities und Security Domains, der Annex B enthält schließlich ein Mapping der alten zu den neuen Controls.
Das verinice.TEAM arbeitet an der Umsetzung in verinice. Diese kann aber erst mit Veröffentlichung der zertifizierungsfähigen ISO/IEC 27001 umfassend erfolgen. Nach der finalen Veröffentlichung der neuen Versionen wird eine Übergangsfrist gelten, um das ISMS auf den neuesten Stand zu bringen. Das verinice-Team empfiehlt aber allen, die ein ISMS nach ISO 27001 betreiben, sich frühzeitig mit den Aktualisierungen auseinanderzusetzen und ggf. die verinice-Partner*innen unterstützend in die Migration einzubeziehen.
