Übergangsanforderungen für die Norm ISO/IEC 27001:2022
Die Norm ISO/IEC 27001:2022 wurde am 25. Oktober 2022 veröffentlicht.
Die Zertifizierungsstellen müssen die Umstellung ihrer Kunden auf ISO/IEC 27001:2022 innerhalb von 36 Monaten nach der Veröffentlichung der Norm abgeschlossen haben. Die zertifizierten Organisationen müssen ihre Umstellung bis Ende Oktober 2025 abgeschlossen haben.
In diesem Rahmen werden die Zertifizierungsstellen 12 Monate nach der Veröffentlichung der Norm ISO/IEC 27001:2022, d. h. ab dem 1. November 2023, keine Erstzertifizierungsaudits oder Rezertifizierungsaudits nach ISO/IEC 27001:2013/ISO/IEC 27001:2017 durchführen.
Die für die Umstellung der zertifizierten Organisationen auf ISO/IEC 27001:2022 durchzuführenden Arbeiten umfassen unter anderem Folgendes:
GAP-Analyse der ISO/IEC 27001:2022 und der Notwendigkeit von Änderungen am bestehenden ISMS;
Aktualisierung der Erklärung zur Anwendbarkeit (SoA);
Aktualisierung des Risikoverbesserungsplans, falls vorhanden;
Implementierung und Wirksamkeit neuer oder geänderter Kontrollen, die vom Kunden ausgewählt wurden.
Ein Übergangsaudit kann aus der Ferne durchgeführt werden, wenn sichergestellt ist, dass die Auditziele erreicht werden.
Wenn die Umstellung auf ISO/IEC 27001:2022 während eines Überwachungsaudits oder eines Rezertifizierungsaudits durchgeführt wird, werden mindestens +0,5 Audittage zur bestehenden Auditdauer hinzugefügt.
Für die Übergangsanwendung [email protected]
"Nummer |
Auszuführende Tätigkeit |
Termin |
1. |
Ende des Eingangs der ersten Zertifizierungsanträge für ISO/IEC 27001:2013 bei Proks |
31. Oktober 2023 |
2. |
Eingang der ersten Zertifizierungsanträge für ISO/IEC 27001:2022 bei Proks |
Nach DAkkS-Zulassung |
3. |
Durchführung der ersten Zertifizierungsaudits für ISO/IEC 27001:2022 durch Proks |
Nach DAkkS-Zulassung |
Die für die Umstellung der zertifizierten Organisationen auf ISO/IEC 27001:2022 durchzuführenden Arbeiten sollten unter anderem folgende Punkte umfassen;
- · GAP-Analyse der ISO/IEC 27001:2022 und des Änderungsbedarfs im bestehenden ISMS
- · Aktualisierung der Erklärung zur Anwendbarkeit (SoA)
- · Aktualisierung des Risikoverbesserungsplans, falls vorhanden
- · Umsetzung und Wirksamkeit der von den Kunden ausgewählten neuen oder geänderten Kontrollen