SPRECHEN SIE MIT UNS

Aktualisierte Struktur für den internationalen Informationssicherheitsstandard ISO 27001

Für Unternehmen jeder Größe ist der Schutz ihrer datenverarbeitenden täglichen Abläufe, sensiblen Daten und geistigen Eigentums vor Cyberangriffen von entscheidender Bedeutung. Ohne angemessene Sicherheitsmaßnahmen drohen Datenverlust, Diebstahl von Informationen durch Hacker sowie Betriebsunterbrechungen aufgrund von Webangriffen und Datenmissbrauch.

Nicht alle Informationen sind gleich wichtig; einige sind irrelevant, während andere äußerst kritisch und vertraulich sind. Es ist von entscheidender Bedeutung, dass Ihre Organisation diese Unterscheidung treffen kann, um Informationen entsprechend zu klassifizieren. Die Grundlage für die Umsetzung von Schutzmaßnahmen bildet ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001.

ISO 27001 – über 20 Jahre alt, aber immer noch relevant

ISO 27001 ist der weltweit führende Standard für die Einführung eines umfassenden Managementsystems für Informationssicherheit. Diese seit über zwei Jahrzehnten anerkannte Norm ist unverzichtbar geworden, wenn es um Informationssicherheit geht. Sie legt die Anforderungen für den Aufbau, die Einführung, die Umsetzung, die laufende Überwachung und die Dokumentation eines ISMS fest. Risiken für Unternehmen werden im Rahmen eines effektiven Risikomanagements erkannt, analysiert und durch wirksame Maßnahmen behoben. Die Norm betrachtet nicht nur IT-Prozesse, sondern bezieht die gesamte Organisation mit ein, darunter, Personal, Gebäude, Lieferantenmanagement, Compliance, Softwareentwicklung.

Eine neue Struktur für den globalen Standard

Angreifer entwickeln ständig neue Methoden, um Schwachstellen in Unternehmen zu identifizieren und in deren IT-Systeme einzudringen, um Informationen zu manipulieren, zu verschlüsseln oder zu entwenden. Jedes Unternehmen muss heute in der Lage sein, diese aufkommenden Bedrohungen für die Informationssicherheit, insbesondere in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit, zu erkennen, zu kontrollieren und ihnen entgegenzuwirken.

Am 25. Oktober 2022 wurde der neue Bewertungsrahmen für Informationssicherheit unter dem Titel „Information Security, Cybersecurity and Privacy Protection“ als ISO/IEC 27001:2022 veröffentlicht. Damit entspricht die ISO 27001 wieder dem Leitfaden ISO 27002:2022 und ist auf dem neuesten Stand der Technik.

Die wichtigsten Änderungen

Die High-Level Structure (HLS) wird zur Harmonized Structure (HS): Die Harmonized Structure legt den Grundstein dafür, künftige ISO-Managementsystemnormen weiter zu harmonisieren. Es gibt einige Ergänzungen, Streichungen und Klarstellungen im Vergleich zur vorherigen Norm. Insbesondere wird im Abschnitt 6.3 präzisiert, dass Änderungen an Informationssicherheitsmanagementsystemen unter Berücksichtigung aller Abhängigkeiten und Auswirkungen geplant und umgesetzt werden müssen, einschließlich der Umstellung auf die neue Norm.

Maßnahmen, die auf die aktuelle Organisation und ihre Bedrohungen zugeschnitten sind: Während die alte Version noch 114 Maßnahmen in 14 Kategorien enthielt, ist die neue Version mit 93 Maßnahmen in vier Kategorien deutlich übersichtlicher. Besonderes Augenmerk wurde auf Themen wie die Nutzung von Cloud-Diensten und Anforderungen an das Business Continuity Management (BCM) gelegt. Außerdem wurden Maßnahmen zur „Privacy Protection“ hinzugefügt, was zusätzliche Betrachtungen und Umsetzungen erfordert.

Alle Maßnahmen sind nun mit Attributen verknüpft, was die Transparenz erhöht und Fehlinterpretationen bei der Anwendung reduziert. Im Mittelpunkt stehen die Identifizierung, Bewertung und Steuerung von Risiken für informationsverarbeitende Prozesse, wobei die Sicherheit vertraulicher Informationen als bedeutendes strategisches Element hervorgehoben wird.

Wechselwirkungen mit anderen Normen

Aufgrund der Änderungen in der Norm ISO 27001 müssen auch die damit verknüpften Normen ISO 27017 für Cloud-Dienste und ISO 27018 zum Schutz personenbezogener Daten in öffentlichen Cloud-Diensten überprüft und überarbeitet werden.

Umstellung bis Ende Oktober 2025

Die Übergangsfrist für bestehende ISO 27001-Zertifikate beträgt drei Jahre ab dem letzten Tag des Veröffentlichungsmonats der neuen ISO/IEC 27001:2022 (Oktober 2022). Das bedeutet, dass alle Zertifikate nach ISO/IEC 27001:2013 bzw. DIN EN ISO/IEC 27001:2017 bis spätestens 31. Oktober 2025 auf die neue Version ISO 27001 von 2022 umgestellt sein müssen.

Jedes Audit zur Erstzertifizierung und Rezertifizierung, das ab dem 01.05.2024 beginnt, muss nach der neuen Version ISO/IEC 27001:2022 durchgeführt werden, wobei der erste Tag des Vor-Ort-Audits (Audit Stufe 1) als Startpunkt gilt.

Wir unterstützen Sie!

Bei der mabs4.0 sind Sie in guten Händen. Die mabs4.0 unterstützt Unternehmen seit vielen Jahren bei der Implementierung von Managementsysteme und steht für höchste Kompetenz.