Eine Übersicht der Änderungen in der ISO/IEC 27002:2022 gab es bereits hier.
Neben dieser signifikanten inhaltlichen Änderung gibt es aber auch an vielen weiteren Stellen der Norm leichte Anpassungen, die Kennern der Norm sofort ins Auge stechen. Zum Beispiel gibt es neue Unterkapitel unter Kapitel 9 Performance evaluation und auch die Reihenfolge der Unterkapitel in Kapitel 10 Improvement wurde umgedreht.
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.2.1 General
9.2.2 Internal audit programme
9.3 Management review
9.3.1 General
9.3.2 Management review inputs
9.3.3 Management review results
10 Improvement
10.1 Continual improvement
10.2 Nonconformity and corrective action
Ausschnitt aus dem Inhaltsverzeichnis der ISO/IEC 27001:2022, online verfügbar unter https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-3:v1:en
Aber auch in den anderen Kapiteln finden sich immer wieder kleinere Anpassungen, wie zum Beispiel sprachliche Umformulierungen in den Anforderungen oder auch zusätzliche Aufzählungspunkte.
Diese Anpassungen resultieren aus der harmonisierten Struktur für Managementsystemnormen (Annex SL) der ISO, die seit 2013 ebenfalls angepasst wurde. Im Rahmen der Überarbeitung der ISO/IEC 27001:2022 wurde diese auch hierauf angepasst. Der Annex SL definiert die grundlegende Struktur sowie viele einheitliche Begriffe und Definitionen in allen ISO-Normen für Managementsysteme und sorgt hierdurch dafür, dass verschiedene Managementsysteme, z.B. Qualitätsmanagement gem. ISO 9001 und Informationssicherheitsmanagement gem. ISO/IEC 27001, gemeinsam in einem integrierten Managementsystem laufen können (Weitere Informationen dazu u.a. auf den ISO-Webseiten).
Die Änderungen durch Annex SL dienen jedoch vorrangig der Klarstellung der bereits früher enthaltenen Inhalte und definieren keine grundlegend neuen Anforderungen im Managementsystem. Während das Managementsystem also weitestgehend gleich bleibt, liegt die wirkliche Arbeit beim Umstieg auf die neue ISO 27001:2022 zum einen in der Umstellung der Risikoanalyse auf die neuen Controls. Zum anderen müssen ggf. auch auf der Norm aufbauende Regelwerke zur Informationssicherheit an den neuen Stand angepasst werden.
Die Übergangsfrist auf die neue Version der ISO 27001:2022 endet gem. IAF Vorgaben am 31.10.2025 sofern keine weiteren behördlichen Vorgaben kürzere Fristen definieren (weitere Infos dazu hier).