Stand der Entwicklung bei der ISO 27001 Norm

Das für die Verwaltung der ISO 27000 Normengruppe verantwortliche Gremium (Joint Technical Committee 1, Sub-Committee 27), hat beschlossen, dass durch eine Ergänzung der bestehenden ISO 27001 Norm die neuen Inhalte erfasst werden und mit den Inhalten der ISO 27002:2022 abgeglichen werden.
 
Wenn eine Normänderung geringfügig ist, kann die ISO eine Änderung der bestehenden Norm veröffentlichen, die fortan das Suffix AMDX erhält. Die internen ISO Regeln besagen, dass dies nur zweimal möglich ist, so dass es in Zukunft eine Änderung 1 und 2 geben kann, aber keine 3.
 
ACHTUNG: Es handelt sich aktuell nach wie vor um eine Prognose, diese kann sich aber natürlich bis zum Veröffentlichungsdatum der neuen ISO 27001 noch geringfügig ändern.
 
Aktuell liegt ein Entwurf der ISO/IEC 27001:2013-AMD1 vor. Dabei handelt sich um ein fünfzehnseitiges Dokument, das im Wesentlichen aus zwei Teilen besteht:
 
  1. Es wurden zwei der Anmerkungen zu Abschnitt 6.1.3 leicht aktualisiert
  2. Es wurde der Inhalt von Anhang A durch eine Tabelle ersetzt, welche die neue Liste der Controls aus der aktualisierten ISO27002:2022 zeigt.
Wann erscheint eine völlig neuen Version von ISO27001?
 

Die ISO Gremien sind scheinbar mit dem High-Level-Strukturformat des Anhangs SL zufrieden und wollen nicht unnötig daran herumwerken. Daher beschränken sich die Änderungen im Wesentlichen auf Anhang A von ISO27001. Angesichts der Tatsache, dass die aktuelle Hauptversion der ISO27001-Norm aus dem Jahr 2013 stammt und die Normen alle fünf Jahre von der ISO überarbeitet werden sollen, scheint eine Überarbeitung der ISO27001-Norm eigentlich überfällig zu sein. Die ISO hat jedoch 2019 eine Überprüfung der ISO27001 durchgeführt und die Norm in ihrer jetzigen Form bestätigt, so dass wir möglicherweise bis 2025 warten müssen, bevor sich hier etwas ändern wird.

Auswirkungen auf zertifizierte Unternehmen
 
Zukünftig werden sich Organisationen nach der Norm ISO/IEC 27001:2013 und der Änderung zertifizieren lassen, möglicherweise erhält diese die Bezeichnung „ISO/IEC 27001:2013 + AMD1:2022“ oder ähnlich. Es wird mit ziemlicher Sicherheit eine Übergangszeit geben, in der eine bestehende Zertifizierung nur nach ISO/IEC 27001:2013 gültig bleibt.
 
Technisch gesehen könnte eine Organisation weiterhin nur die alten Controls verwenden, solange sie diese den neuen Controls zuordnet und etwaige Diskrepanzen erklärt, aber da sie wahrscheinlich trotzdem die elf neuen Controls in ISO27002:2022 implementieren muss, empfiehlt es sich jedenfalls schon heute nach der ISO27002:2022 vorzugehen.