Anforderungen an Informationssicherheitsmanagementsysteme nach der Norm ISO 27002:2022

Hersteller von digitalen Gesundheitsanwendungen (DiGA) und zukünftige Hersteller von digitalen Pflegeanwendungen (DiPA) müssen ein Informationssicherheitsmanagementsystem (ISMS) gemäß ISO 27001 oder gemäß ISO 27001 auf der Basis von IT-Grundschutz (BSI-Standard 200-2: IT-Grundschutz-Methodik) umsetzen und ein entsprechendes anerkanntes Zertifikat vorweisen.

Am 15. Februar 2022 hat die International Organization for Standardization (ISO) eine aktualisierte Version der ISO 27002:2022 veröffentlicht. Die Überarbeitung dieser Norm beinhaltet eine wesentliche Änderung der Struktur für die Maßnahmen, welche im normativen Anhang A der Norm ISO 27001 enthalten sind. Dieser Änderung zur Folge stand auch der normative Anhang der ISO 27001 vor einer ähnlichen Überarbeitung, um die Beschreibungen der Maßnahmen in der neuen ISO 27002:2022 korrekt und nachvollziehbar zu referenzieren. Erwartet wurde ebenfalls die Überarbeitung des Hauptteils der Norm ISO 27001. Am 25. Oktober 2022 hat die ISO die aktualisierte Version der ISO 27001:2022 veröffentlicht. Die vorliegende Übersicht fasst die wichtigsten Änderungen an dieser internationalen Norm zusammen.

Der Hauptteil der ISO 27001, einschließlich der in den Klauseln 4 bis 10 definierten Festlegungen und Anforderungen, hat sich nur geringfügig geändert. Die meisten dieser Änderungen und Überarbeitungen sind nur formaler und/oder erläuternder Natur. Einige Änderungen sorgen für strengere und schärfere Definitionen von Anforderungen, die in der Praxis bereits so auch überwiegend verstanden waren, wie sie jetzt in der aktualisierten Fassung definiert sind. Eine tiefergehende Überprüfung dieser Änderungen könnte jedoch für diejenigen Organisationen und Unternehmen vom Nutzen sein, die zuvor bei der Umsetzung dieser Klauseln individuelle Auslegungen und Interpretationen angewendet haben.

Wesentliche Änderungen wurden an der Struktur des normativen Anhangs A der Internationalen Norm vorgenommen. Dies beinhaltet die Definitionen und Ziele der Maßnahmen, die zusätzlich zu den Anforderungen in den Klauseln 4 bis 10 des Hauptteils von ISO 27001 implementiert werden müssen. Die überwiegende Mehrheit dieser Maßnahmen blieb jedoch nahezu unverändert, auch wenn diese durch komplette Überarbeitung der Struktur des Anhangs neuen Abschnitten zugeordnet wurden.

Der normative Anhang A der ISO 27001:2022 ist nun in vier Abschnitte statt bisher den 14 Gruppen entsprechend unterteilt. Das neue Gruppierungsschema besteht nun aus:

• (Abschnitt 5) Organizational Controls/ Organisatorische Maßnahmen – 37 Maßnahmen,
• (Abschnitt 6) People-related Controls/ Mensch-orientierte Maßnahmen – 8 Maßnahmen,
• (Abschnitt 7) Physical Security Controls/ Maßnahmen der physischen Sicherheit – 14 Maßnahmen – und
• (Abschnitt 8) Technological Controls/ Technologische Maßnahmen – 34 Maßnahmen.

Die Gesamtanzahl der Maßnahmen wurde von ursprünglich 114 auf jetzt 93 reduziert. Diese Reduktion resultiert jedoch hauptsächlich aus mehreren Zusammenlegungen von zuvor getrennten, aber sinngemäß ähnlichen oder aufeinanderfolgenden Schutzmaßnahmen meist zu einer einzigen Schutzmaßnahme, welche in den meisten Fällen in der Praxis auch in einem Zug hätte umgesetzt werden sollen. Früher gab es beispielsweise (i) separate Maßnahmen für die Dokumentation (Planung), (ii) Aufgaben zur effektiven Umsetzung der Planung und (iii) Maßnahmen zur Überprüfung/Validierung/ Auditierung der Wirksamkeit der Umsetzung. Solche Maßnahmen wurden in den meisten Fällen ohne Handlungsverluste nun in einer einzigen Maßnahme zusammengefasst.

Es wurden jedoch 11 vollständig neue Maßnahmen eingeführt, die wie folgt auf die Abschnitte „Organisatorische Maßnahmen“ (3 neue Maßnahmen), „Maßnahmen der physischen Sicherheit“ (1 neue Maßnahme) und „Technologische Maßnahmen“( 7 neue Maßnahmen) verteilt sind:

^{Tabelle 1: Überblick über die neuen Maßnahmen, welche im normativen Anhang A der ISO 27001:2022 eingeführt wurden.}

^{Die Inhalte der Tabelle stammen aus den Normen ISO 27001 und ISO 27002. Die offiziellen Versionen dieser Normen sind aktuell nur in Englisch verfügbar. Es liegen bisher noch keine Versionen dieser Normen in deutscher Sprache vor.}

Die kürzlich veröffentlichte Norm ISO 27002:2022 enthält auch eine richtungsweisende Verknüpfung von jeder Maßnahme zu der/den jeweiligen Maßnahme( n) in der vorherigen Version des Anhangs A der ISO 27001:2017. Dies ist insbesondere für die Umsetzungsverantwortlichen der Managementsysteme zur Informationssicherheit (i. d. R. Chief Information Security Officer (CISO)), welche auf der Grundlage von ISO 27001 aufgebaut wurden, recht hilfreich. CISO können die ISMS-Dokumentation nun auf der Grundlage dieser Verweise relativ einfach entsprechend der neuen Fassung der Norm anpassen, bzw. umstrukturieren.

Für Organisationen und Unternehmen, die bereits nach der Version ISO 27001:2017 zertifiziert wurden, gibt es in der Regel eine zweijährige Übergangsfrist, innerhalb derer das ISMS auf Basis der ISO 27001:2022 neu organisiert werden muss, um die Rezertifizierung zu erhalten. Alle Organisationen und Unternehmen, die derzeit die ISO-27001-Zertifizierung anstreben, aber noch nicht final auditiert wurden, werden aufgefordert, ihr ISMS so bald wie möglich gemäß der neuen Struktur der ISO 27001:2022 umzustellen. Zertifizierungsstellen warten aktuell noch auf die Entscheidung der ISO, ob und falls ja, bis wann Zertifizierungszertifikate für Unternehmen gegen die bisherige Version der Norm ISO 27001:2017 ausgestellt werden dürfen. Infolgedessen empfehlen wir, alle vorhandenen ISMS zu validieren, die Verweise auf die ISO 27001 und ISO 27002 zu überarbeiten sowie Kontrollen zu definieren, die für die neu eingeführten Themen implementiert werden sollen.

Mazars unterstützt Sie dabei organisatorisch, prüferisch, aber auch tatkräftig in der Umsetzung der Umstrukturierung Ihres ISMS nach der neuen Version der internationalen Norm ISO 27001:2022. Wir verfügen bereits seit dem Erscheinen der Neufassung der ISO 27002:2022 über zertifizierte Expert*innen, die eine Überarbeitung Ihres ISMS mit Ihnen zusammen vorgabenkonform umsetzen können.

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an

Autoren

Dr. Roman Krepki
Tel: + 49 711 666 31 814

Sebastian Retter
Tel: + 49 30 208 88 1043

Dies ist ein Beitrag aus unserem Healthcare-Newsletter 4-2022. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.