ISO/IEC 27001:2022 hat A.8.28 Secure Coding als neue Kontrolle eingeführt. Schulen Sie Ihre Entwickler darauf, dokumentieren Sie es sauber für interne und externe Auditoren und schließen Sie die Übergangslücke von 27001:2013 zu 27001:2022 vor Ihrem nächsten Überwachungsaudit.
Die Revision 27001:2022 hat Anhang A neu strukturiert und Secure Coding als ausdrückliche Kontrolle hinzugefügt. Unsere Plattform wurde rund um den neuen Kontrollsatz konzipiert — A.8.28, A.6.3, A.8.29 und A.5.7 — und nicht auf ein generisches LMS aufgesetzt.
A.8.28 ist das, wonach Auditoren in diesem Zyklus zuerst suchen werden. Wir bilden direkt darauf ab: sprachspezifisches Secure-Coding-Curriculum für mehr als 15 Stacks, OWASP-ausgerichtete Abdeckung von Schwachstellenkategorien und nachgewiesene Kompetenz pro Entwickler — keine Anwesenheit.
A.6.3 deckt die allgemeine Awareness der Mitarbeiter umfassender ab, und Engineering-Teams benötigen einen entwicklerspezifischen Pfad, um sie glaubhaft zu erfüllen. Rollenbezogene Pfade für Backend-, Frontend- und Mobile-Engineers — getrennt von allgemeiner Security Awareness — schließen diese Lücke mit auditfähigen Aufzeichnungen.
A.8.29 erwartet Security Testing innerhalb des SDLC. Die Schulung behandelt, was Entwickler vor dem Merge ausführen müssen — SAST, DAST, IAST-Integrationsmuster, Dependency Scanning und wie Befunde priorisiert werden — sodass die Kontrolle operationalisiert und nicht nur dokumentiert wird.
A.5.7 ist eine Ergänzung in 27001:2022, bei der Auditoren noch herausfinden, wie sie sie nachweisen sollen. Unsere vierteljährliche Curriculum-Aktualisierung verfolgt aufkommende Schwachstellenklassen — Zero-Day-Muster, Dependency Confusion, aktuelle CVEs — sodass Threat Intelligence ein lebendiger Input in die Schulung ist und kein veralteter Foliensatz.
Ein interner Auditor oder Prüfer einer Zertifizierungsstelle, der ein A.8.28-Review durchführt, sucht nach einem bestimmten Satz von Artefakten. Unsere Plattform produziert alle sieben — automatisch, kontinuierlich und in den Formaten, die ISMS-Auditoren erwarten.
Jede Abschrift ist mit den Kontrollen A.8.28 und A.6.3 verknüpft und enthält Zeitstempel, Punktzahlen und Versuchshistorie. Genau die Aufzeichnung pro Lernende(r), die ein Auditor von einem stichprobenartig ausgewählten Entwickler zurückverfolgt.
Curriculum-Beschreibung, verknüpft mit den in-scope Sprachen, Frameworks und OWASP-Kategorien Ihres ISMS — versionskontrolliert mit einem Changelog, den der Auditor einsehen kann.
Bewertung der nachgewiesenen Fähigkeit — verwundbaren Code klassifizieren, Behebungen schreiben, Pull Requests mit eingebauten Fehlern reviewen — nicht Anwesenheitszeit. Die Form der Kompetenz, nach der A.6.3 tatsächlich fragt.
Schulungsergebnisse, verknüpft mit dem A.8.29-Anknüpfungspunkt: Entwickler werden im Ausführen von SAST, DAST, IAST und Code-Review-Prüfungen vor dem Merge geschult, wobei der Modulabschluss mit diesen Aktivitäten verknüpft ist.
Aktualisierungsaufzeichnungen, verknüpft mit Threat-Intelligence-Inputs (A.5.7) — aufkommende Schwachstellenklassen, Lieferketten-Risiken, aktuelle CVEs — mit dokumentierter Begründung für jede Curriculum-Änderung.
CSV- und JSON-Exporte mit Kontrollreferenzen inline — A.8.28, A.6.3, A.8.29, A.5.7 — sodass der Auditor die Kontrollzuordnung liest, ohne aus Ihrer LMS-Taxonomie übersetzen zu müssen.
Direkt einsetzbarer SoA-Wortlaut für in-scope Anhang-A-Kontrollen, der diese Schulung als primäre Maßnahme zur Risikominderung benennt, mit den Nachweisverweisen, die Ihr Prüfer stichprobenartig prüfen wird.
Ein dreißigminütiges Gespräch reicht in der Regel aus, um festzustellen, ob wir die richtige Wahl für Ihr ISMS sind. Wir führen Ihr Team durch die A.8.28-Latte, bilden unser Programm auf Ihren Stack und Ihre SoA ab und zeigen Ihnen das Nachweispaket, das interne und externe Auditoren bereits akzeptiert haben.
Jede Organisation, die sensible Kundendaten verarbeitet, Zahlungen abwickelt oder in regulierte Märkte verkauft (Finanzwesen, Gesundheitswesen, öffentlicher Sektor, EU CRA-Geltungsbereich), benötigt in der Regel ein ISO 27001 ISMS. Engineering-Teams in zertifizierten Organisationen benötigen die A.8.28 Secure-Coding-Schulung und die A.6.3 Awareness-Schulung, die ein Auditor stichprobenartig prüfen kann — unabhängig von der Unternehmensgröße.
Die Revision von 2022 hat Anhang A von 114 Kontrollen in 93 Kontrollen umstrukturiert, gruppiert in vier Themen — und 11 neue Kontrollen hinzugefügt, darunter A.8.28 Secure Coding, A.5.7 Threat Intelligence und A.5.23 Informationssicherheit für Cloud-Dienste. Die Übergangsfrist von 27001:2013 zu 27001:2022 endet am 31. Oktober 2025, sodass sich die meisten Organisationen jetzt in ihrem ersten Überwachungszyklus gegen den neuen Kontrollsatz befinden.
A.6.3 deckt die allgemeine Mitarbeiter-Awareness ab — Phishing, Passwort-Hygiene, akzeptable Nutzung — was die meisten Awareness-Plattformen bereits abdecken. A.8.28 ist engineering-spezifisch und fordert nachgewiesene Secure-Coding-Kompetenz. ISO 27001 Security-Awareness-Schulung allein erfüllt A.8.28 nicht; Auditoren erwarten einen separaten Entwicklerpfad mit rollenbezogenem Curriculum und Bewertungsnachweisen pro Lernende(r).
Die Schulung selbst ist keine Zertifizierung — zertifiziert wird Ihr ISMS. Aber die Abschriften pro Entwickler, die Ergebnisse der Kompetenzbewertung und die Zuordnung von Curriculum zu Kontrolle, die diese Plattform produziert, sind genau die Artefakte, die ein externer Prüfer einer Zertifizierungsstelle bei der Prüfung von A.8.28 und A.6.3 während der Erstzertifizierung oder Überwachungsbewertung verlangen wird.