Am 25. Oktober 2022 trat sie in Kraft – die neue ISO/IEC 27001:2022, mit der einige Änderungen auf betroffene Unternehmen zukommen. Über alles, was mit dieser Norm-Transition einhergeht, weiß Christoph Zallmann bestens Bescheid. Seit 2019 ist unser Head of ISMS bei der TÜV TRUST IT beschäftigt und berät unsere Kunden zu allen Belangen rund um Informationssicherheits-Managementsysteme. Heute spricht er mit uns über die Herausforderungen der aktuellen ISO-Transition. 

Herr Zallmann, Sie leiten einen Teilbereich ISMS bei der TÜV TRUST IT. Wie kann man sich Ihr Tätigkeitsfeld vorstellen? 

Ich arbeite immer eng mit unseren Kunden zusammen, ob beim Aufbau oder der Optimierung eines Informationssicherheits-Managementsystems oder bei der Risikoanalyse. Mein Schwerpunkt liegt dabei auf der Kundenberatung zu allen Schritten, die das individuelle Projekt eines Unternehmens umfasst. Man kann sagen, ich bin der Mittelsmann zwischen der zum Teil doch recht trockenen Norm und den praktischen Inhalten. Und das ist natürlich gerade jetzt, im Übergangszeitraum der ISO-Transition, von Bedeutung.

Welche Entwicklungen machten eine Überarbeitung der ISO 27001 notwendig?

Wir leben in einer schnelllebigen Zeit. Viele Inhalte sind in einer doch recht statischen Norm noch nicht integriert und trotzdem Teil unseres täglichen Alltags. Dabei spielt die Cloudsicherheit sowie das mobile Arbeiten eine große Rolle. Dies beinhaltet nicht nur die Arbeit im Homeoffice, für welche die Corona-Pandemie sicher als Katalysator fungiert hat, sondern auch das Arbeiten im öffentlichen Bereich mit mobilen Geräten. Darauf muss heutzutage ein besonderer Fokus gelegt werden. Bei Einführung der letzten ISO 27001:2013 spielte die Cloudsicherheit aber noch keine Rolle, weshalb sie bislang keine Erwähnung fand. In den Kapiteln 4–10 des Hauptteils der Norm, wo die obligatorischen Anforderungen an ISMS beschrieben werden, gab es verhältnismäßig wenige Änderungen, aber auch kleine Sätze können hier zu einer deutlichen Auswirkung führen. So müssen beispielsweise entsprechend Kapitel 4.4 nun auch benötigte Prozesse explizit erwähnt werden.

Und wie hängt die ISO 27002 damit genau zusammen?

Das erklärt sich, wenn man weiß, dass die ISO 27001 keine Informationen zur konkreten Umsetzung der beschriebenen Anforderungen enthält. Hier werden ausschließlich die Vorgaben definiert. Zur Umsetzung dieser Vorgaben wurde die ISO 27002 entworfen, die praktisch eine Umsetzungsempfehlung ergänzend zur ISO 27001 darstellt, genauer gesagt zu den in Anhang A aufgeführten Controls. Darin steht beschrieben, wie die Umsetzung aussehen könnte und wie man die Vorgaben interpretieren sollte. Diese informative Norm kann jeden dabei unterstützen, um sich auf ein Zertifizierungsaudit vorzubereiten.

Welche Maßnahmen müssen Unternehmen denn treffen, um die neuen Anforderungen zu erfüllen? 

Im Prinzip haben Unternehmen jetzt zwei Möglichkeiten: Sie können entweder die neuen Inhalte der ISO 27001:2022 in ihre bestehenden Strukturen implementieren oder einen kompletten Neuaufbau nach der neuen Norm planen. Welcher Weg der richtige ist, obliegt dabei dem jeweiligen Unternehmen selbst. Wie erwähnt, können Unternehmen mithilfe der Norm und der zugehörigen Umsetzungsempfehlungen selbst an diesen Anpassungen arbeiten, allerdings sollte immer im Hinterkopf sein, dass mit der Umstellung auch zusätzliche Anforderungen wie z.B. die Integration der Prozesse relevant werden. Die bedeutet einen deutlichen Mehraufwand an Pflege. Zudem müssen Dokumente umgeschrieben werden. Die zusätzlichen Controls wirken vielleicht unkompliziert, erzeugen aber eine große Menge an Aufgaben, die im Unternehmen viele Ressourcen beanspruchen.

Und wie kann die TÜV TRUST IT ihre Kunden dabei unterstützen?

Wir unterstützen unsere Kunden auf mehreren Ebenen bei der Umstellung. Zunächst natürlich mit unserer Expertise. Wir beraten eine große Zahl an Kunden zu diesem Thema und haben jahrelange Erfahrung im Bereich des Aufbaus und der Entwicklung eines ISMS und auch mit der Auditvorbereitung. Diese Expertise müssten sich viele Verantwortliche im Unternehmen erst aufbauen und jedes Control einzeln erarbeiten. Wir bieten dafür praktisch eine Abkürzung. Außerdem erleichtert das Konstrukt unseres etablierten ISMS-Frameworks unseren Kunden die Arbeit, sowohl im Neuaufbau als auch bei der Transition. Die modularen Bausteine dieses Frameworks können in ein neues oder ein bereits bestehendes ISMS integriert werden. Und nicht zuletzt unterstützen wir auch mit einem Know-how-Transfer und bieten verschiedene Schulungen und Veranstaltungen im Bereich ISMS an. Sei es die Schulung zum ISMS-Auditor oder -Manager, der Erfahrungsaustausch unter unseren bestehenden Kunden oder der beliebte Arbeitskreis ISMS, den wir speziell für Energieversorger ins Leben gerufen haben. Sie sehen, wir unterstützen Unternehmen gerne dabei, sich selber vorzubereiten, bieten aber auch unsere Expertise als externer Dienstleister an und stehen bei Fragen hierzu gerne zur Verfügung.

Vielen Dank für das Interview, Herr Zallmann!