Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

ISO 27001:2022 – Was ist neu?

M.Sc. Jan Hörnemann

Die ISO 27001 ist eine international anerkannte Norm. Sie wird von der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) entwickelt. Die ISO 27001 legt die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) fest, mit dem die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit gemanagt werden können. Die Norm kann auf alle Organisationsarten und -größen angewendet werden. Mit ihr werden Aspekte der Informationssicherheit von digitalen Daten bis hin zu physischen Sicherheitsmaßnahmen und betrieblichen Prozessen beleuchtet. In unregelmäßigen Abständen wird sie den aktuellen Bedrohungen und Neuerungen in der Informationssicherheit angepasst und aktualisiert. Die letzte Aktualisierung erfolgte letztes Jahr mit der ISO 27001:2022.

Laden Sie jetzt unsere kostenfreien ISO 27001:2022 Vorlagen herunter

Über 40 Vorlagen die Sie für den Aufbau Ihres Informationssicherheitsmanagementsystems nutzen können.

Kostenfrei. Jetzt anfordern

Der Ursprung der ISO 27001 liegt in den 1990er Jahren. Als BS-7799-2:2002 wurde sie von der British Standards Institution veröffentlicht. Durch die ISO wurde der Standard dann weiterentwickelt und wie oben erwähnt aktualisiert. Diese Neuerungen führten im Jahr 2005, 2013 und 2017 zu neuen Versionen der ISO 27001.

Die Bedeutung eines ISMS

Mit einem ISMS wird Unternehmen ermöglicht, Sicherheitsrisiken auf systematische Weise zu erkennen und zu bewerten. Mit den ermittelten Sicherheitsrisiken können individuelle Sicherheitsstrategien entworfen werden, mit denen die Auswirkungen der Risiken gesenkt werden. Ein ISMS stärkt die allgemeine IT-Sicherheit in Unternehmen und schützt vor Gefahren und deren Folgen. Unternehmen können durch die Implementierung nachweisen, angemessene Sicherheitsmaßnahmen getroffen zu haben, was oft eine Anforderung von gesetzlichen und regulatorischen Vorgaben ist.

Bis 2024 muss die neue NIS-Direktive der EU in nationale Gesetze umgesetzt werden. Mit ihr sollen Unternehmen besser auf digitale Bedrohungen vorbereitet und Sicherheitsvorfälle transparenter gemacht werden. Zusätzlich kann so ein Überblick über die aktuelle Sicherheitslage der Mitgliedsstaaten geschaffen werden. Bei Nichtbeachtung der neuen Direktive drohen Sanktionen in Höhe von bis zu 20 Mio. EUR oder 4 % des Vorjahresumsatzes. Es sollte jedoch klar sein, dass ein Sicherheitsvorfall erheblich höheren Schaden und langfristige Auswirkungen auf ein Unternehmen haben kann, als die Geldbußen. Die Stärkung der Informationssicherheit als Resultat der Direktive ist ein nicht zu vernachlässigender Bestandteil des Unternehmenserfolges.

Wir stellen Vorlagen zur Implementierung eines ISO 27001:2022-konformen ISMS frei verfügbar bereit. Gerne können Sie sich die Vorlagen hier herunterladen.

Grundlegende Struktur der ISO 27001:2022

Mit der ISO 27001:2022 werden unterschiedlichste Bereiche eines Unternehmens abgedeckt. Die wichtigsten Bestandteile sind hierbei:

  • Kontext der Organisation: Verständnis der Organisation, um den Umfang des ISMS festzulegen
  • Führung: Rolle des Managements bei der Einrichtung und Aufrechterhaltung des ISMS
  • Planung: Festlegung von Anforderungen und Bewertung von Risiken
  • Unterstützung: Ressourcen und Kompetenzen, welche für das ISMS notwendig sind
  • Betrieb: Bewertung und Behandlung von Risiken sowie Einrichtung entsprechender Sicherheitsmaßnahmen
  • Leistungsbewertung: Messung und Evaluierung des ISMS für eine stetige Verbesserung
  • Verbesserung: Durchführung von Korrekturmaßnahmen, um die Informationssicherheit stetig zu steigern

Des Weiteren enthält die ISO 27001 einen Anhang mit Maßnahmen, die je nach Risikoprofil der Organisation ausgewählt und umgesetzt werden.

Neuerungen und Änderungen in der ISO 27001:2022

Im Oktober 2022 wurde nun die aktualisierte Version der ISO 27001 veröffentlicht, die ISO 27001:2022. Mit ihr wird das Feld Datenschutz stärker betont und in den Vordergrund gerückt. Das ist nicht verwunderlich, da Informationssicherheit und Datenschutz oft viele Berührungspunkte und Überschneidungen haben.

Der Maßnahmenkatalog wurde angepasst und neu strukturiert. Durch die Umstrukturierung wurde die Anzahl der Maßnahmen von 114 auf 93 reduziert und in vier statt ursprünglich 14 Abschnitten eingeordnet. Von den 93 Maßnahmen sind insgesamt elf neu eingeführt worden. Die Maßnahmen werden in der ISO 27001:2022 mit fünf verschiedenen Attributen versehen: Kontrolltyp, Eigenschaft der Informationssicherheit, Cybersicherheitskonzepte, Operative Fähigkeit und Sicherheitsdomänen.

Mit einer Übergangsfrist von drei Jahren wurde bereits zertifizierten Unternehmen die Möglichkeit gegeben, sich auf die neuen Anforderungen einzustellen. Hier gilt jedoch: je früher, desto besser. Besonders im Business Continuity Management sind die Anforderungen strenger geworden, hier sollten also möglichst zügig Anpassungen an die neue ISO 27001:2022 vorgenommen werden. Nicht zertifizierte Unternehmen sollten direkt die Zertifizierung nach der aktuellsten Version anstreben.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Fazit

Die Implementierung und Einführung eines ISMS birgt zahlreiche Vorteile für Unternehmen. Mit der ISO 27001:2022 können sich Unternehmen auf die wachsenden Herausforderungen der Informationssicherheit vorbereiten. Als Grundlage einer umfassenden Informationssicherheitsstrategie kann die Implementierung der Norm Organisation helfen, ihre Datenverarbeitung und Datensicherheit effizienter und sicherer gestalten. Mit der Zertifizierung wird nachgewiesen, dass die Organisation die aktuell besten Sicherheitspraktiken befolgt. Zusätzlich erhöht eine erfolgreiche Zertifizierung das Vertrauen von Kunden, Partner und Aktionären in das Unternehmen. In unserem Whitepaper zur ISO27001:2022 haben wir die Herangehensweise des Aufbaus nach der ISO27001:2022 detaillierter beschrieben. Fordern Sie jetzt das Whitepaper an.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen